按照: https://launchpad.net/ubuntu/focal/+source/openssh/+changelog 和 https://ubuntu.com/blog/what-is-an-ubuntu-lts-release 和 https://ubuntu.com/about/release-cycle “对于每个 Ubuntu LTS 版本,Canonical 都会维护基础软件包并提供为期十年的安全更新,包括内核实时修补。”Ubuntu 20.04 LTS 于 2020 年 4 月 23 日发布。
Ubuntu 20.04 LTS 是否会收到 openssh-server 和 openssh-client 软件包的任何更新,以解决 NVD 中未解决的 CVE,这些 CVE 导致当前版本 (8.2p1) 从网络安全角度来看存在漏洞?例如https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15778
由于此 CVE 的影响,所有现代安全扫描平台目前都将 8.3p1 之前的所有 SSH 版本标记为易受攻击。
我理解一种选择是迁移到较新的 LTS 版本,以推进 openssh 版本。我正在尝试确定“长期支持”和“扩展安全维护 (ESM)”的范围(如果有的话)可能是什么,以推动 Canonical 的此安全更新。如果 LTS 和 ESM 都不意味着 openssh-server 永远不会更新以解决此(或其他)CVE,那么我将指示我们的团队将我们所有的生产资产迁移到新的 Ubuntu Server 版本,纯粹是为了消除这个长期存在的网络安全风险。但在开始数千小时的工作之前,如果能得到 Canonical 的官方确认,那就太好了。:)
根据 CVE 中的日期记录:20200715(2020 年 7 月 15 日),此版本的 openssh-server 多年来一直存在漏洞。
答案1
Ubuntu Server LTS 版本得到了 Canonical 和社区五年的全力支持。
“支持”意味着该版本将继续收到更新,包括错误修复和安全补丁。
Ubuntu Server 20.04 将完全支持到 2025 年 4 月。
虽然建议在社区支持结束之前迁移到新版本,但您可以注册 ESM 或 Ubuntu Pro 订阅,这样您就可以在至少五年内继续获得关键的安全更新和错误修复,直到 2030 年 4 月。
在 Ask Ubuntu 上,我们通常无法回答有关仍在开发中的未发布软件的具体问题,无论它们是新功能、错误修复还是安全补丁。
一般来说,错误修复和安全漏洞会根据其严重程度和影响人数进行分类。
如果某个 CVE 似乎需要很长时间才能修复,那么很可能该 CVE 不会影响太多人,或者根本就不是什么大问题。如果某个重大安全漏洞被识别并确定为真正严重的问题,那么它将具有高优先级并会尽快得到修复。
如果您想随时了解任何 CVE 的详细信息或当前状态,请参考CVE 追踪器。
以下是有关CVE 2020-15778
开发者说明如下:
主题:
the upstream OpenSSH project will not be fixing this issue as
it may result in breaking existing workflows. As such, we will
not be fixing this issue in Ubuntu.
塞思·阿诺德:
openssh-ssh1 is provided for compatibility with old devices that
cannot be upgraded to modern protocols. Thus we may not provide security
support for this package if doing so would prevent access to equipment.
根据 CVE 跟踪器和开发人员说明,这个问题不会得到解决,因为不能被修复。但是,只要您没有使用无法升级到现代安全协议的旧设备,这就不是什么大问题。