我正在努力修复我们环境中的一些漏洞,其中之一就是我们使用的是 OpenSSH 8.9。我们的安全团队建议我们升级到 9.3,但我没有看到任何迹象表明此软件包可用于 Ubuntu 22.04。有没有办法升级到该版本?
答案1
你的安全团队可能依赖具体来说扫描仪结果,通常不正确。
Ubuntu 修补了 CVE,并精选了补丁应用于Ubuntu 存储库中的版本据我所知,包装中没有尚未修补的 CVE。 查看 CVE 跟踪器以了解更多详细信息让你的“安全团队”学会不要仅仅依赖他们的工具,而是要真正查看他们看到的 CVE 等是否确实已得到修补。(这就是我们使用 Rapid7 InsightVM 通过我所在公司的认证代理访问来检查我们所有系统的安全性的原因)。
请注意,有些 CVE 可能已修补,而其他则不适用,等等,因此你和你的安全团队需要查找具体的跟踪器上的 CVE,查看正在使用的 Ubuntu 版本是否有可用的补丁。如果有,它会列出哪个版本的软件包有补丁。然后,您可以检查apt policy openssh-server
并查看系统上安装了哪个版本的 OpenSSH 服务器。如果较旧比修补的软件包版本,您需要在系统上运行更新。
(免责声明:我是一名 IT 安全专业人士,这种“误解”即“您必须升级到最新的 OpenSSH,否则您就不安全!”是安全团队需要停止坚持的观念,他们需要了解基础设施的实际运作方式和更新方式。)
如果你是死心塌地更新到较新的 OpenSSH 来修复此问题,则需要手动编译 OpenSSH 并将其安装在受影响的系统上。这并非易事,并且不易在此处记录。