我的情况是,我们正在进行内部 PCI 扫描,扫描范围内的一台服务器是 Ubuntu Server 16.04.2 LTS。openssh-server 的最新软件包是 OpenSSH_7.2p2,使用命令 ssh -V 显示。PCI 抱怨一些新的 CVE 错误/漏洞
CVE-2016-10009
CVE-2016-10010
CVE-2016-10011
CVE-2016-10012
所有这些都是“需要”的http://people.canonical.com/~ubuntu-security/cve/
由于我对 PCI 合规性和扫描还很陌生,我不知道该如何继续才能通过这里。我尝试手动升级到 OpenSSH 7.5。虽然 ssh -V 命令显示 7.5,但扫描没有检测到,并认为我仍然在使用 7.2。我是否遗漏了有关手动升级的某些信息?为什么我的扫描程序仍然认为我正在使用 7.2?如果我无法手动升级它,并且需要依赖将来发布的反向移植,我是否可以据此通过内部扫描?
答案1
我遇到了完全一样的问题。
我通过wget从这里获取 openssh 7.5 debian 包解决了这个问题:
https://packages.debian.org/search?keywords=openssh-client
https://packages.debian.org/search?keywords=openssh-server
然后使用dpkg -i来安装它们。
要仔细检查向外界公开的 ssh 版本,您可以ssh -v在登录服务器时使用它。
这将显示详细输出,并应包含一行详细说明服务器上运行的 ssh 守护程序的版本号。
例如debug1: match: OpenSSH_7.5p1 Debian-2 pat OpenSSH* compat 0x04000000
我即将重新运行我的 PCI 扫描,祈祷一切顺利!
答案2
所有四个错误均已在 17.04 版本的软件包中修复。
您可以尝试将 17.04 版本的软件包反向移植到您的 16.04.2 系统。
您可以用 17.04 系统替换 16.04.2 系统。
显然,您应该首先在 VM 中测试任何更改!
自 17.04 发布以来,您还可以请求斯洛伐克大学16.04 版的修复。他们可能会这么做 - PCI 合规性很重要。