.png)
今天,我在我的一台服务器上运行了 Qualys PCI 审计。它列出了一些漏洞,但其中许多漏洞都是由简单的版本检查引起的,因此我认为是“误报”。
但有一个漏洞OpenSSH 身份验证绕过漏洞 (CVE-2023-51767)。
在https://ubuntu.com/security/CVE-2023-51767它说:
截至 2024-02-02,此问题尚无缓解措施。标记为延期
但看起来这个问题似乎仍然没有解决办法。
除了停用 ssh:您会做什么来让该服务器符合 PCI 标准?
目前正在使用 Ubuntu 20.04 - 但即使使用 24.04(目前在我的托管商上不可能实现)似乎也没有修复?!
答案1
我联系了我的安全团队联系人,我们进行了一些讨论,增加了一些错误链接,以及我深入研究的细节。
根据安全团队的说法,他们对 Ubuntu CVE 跟踪器上的 CVE 进行了修订。Ubuntu 安全团队的长期成员 Marc Deslauriers 重新处理并重新审查了 NVD 和其他上游来源的 CVE 和相关链接,最终得出了这个结论,现在反映在Ubuntu CVE 跟踪器:
研究人员使用了修改版的 sshd,以便更轻松地演示此漏洞。没有迹象表明 Ubuntu 中的 openssh 包可以以相同的方式被利用。
上游 OpenSSH 开发人员选择忽略此问题 因为这个漏洞在实践中无法被利用,需要由硬件平台来解决,而不在 OpenSSH 本身中。
由于对于 Ubuntu 来说这里没有任何可操作的内容,因此我将此问题标记为已忽略。
(重点是我的)
通常,PCI/DSS 等政策扫描很愚蠢,但实际的合规性政策可以说某些问题未得到解决是有原因的。如果您对此创建完整报告,您可以使用类似这样的内容作为评估中此问题“未得到解决”的理由:
上游 OpenSSH 开发人员已检查过此漏洞及其相关论文。相关研究人员使用经过修改的 sshd 使此漏洞更容易演示,这意味着现有 OpenSSH 二进制文件并未被证实受此漏洞影响。
此外,该问题主要是硬件平台问题,而非 OpenSSH 问题,因为 Row-Hammer 攻击需要由硬件平台来解决。OpenSSH 则选择忽略该问题,而且由于 Ubuntu 或其他操作系统无法解决该问题,因此发现的漏洞无法修复。