我正在 Google 云计算上运行一个网站,该网站使用 debian distrib。我们最近进行了一次安全审核,其中一项建议是将 OpenSSH 从 7.4 升级到 7.8 或更高版本。apt正在显示
openssh-server/oldstable,now 1:7.4p1-10+deb9u6 amd64 [installed,upgradable to: 1:7.4p1-10+deb9u7]
看起来我们通过 apt 升级所能做的最好的事情就是升级到稍新的 7.4 版本。有没有办法强制它到 7.8,或者需要一个新的内核?我可以下载源代码,编译并安装它,但这会破坏系统上的其他东西吗?这是一个生产站点,所以我不希望有任何意外。
答案1
一般来说,您应该使用您正在运行的稳定 Debian 版本的最新版本。该版本将应用所有安全修复程序,在这种情况下,CVE-2018-15473 已通过在stretch 和buster 中升级到最新版本来修复。
安全漏洞扫描程序经常标记误报,因为大多数 Linux 发行版将安全修复程序反向移植到最新的稳定版本,而不是将软件包更新到最新版本。通常,最新版本可能会发生重大更改或不兼容的行为,并且用户不会喜欢自动更新其稳定版本来破坏事情。
大多数时候,这些版本不包含公开给外部系统的区分版本号。从安全角度来看,报告版本号通常不受欢迎,因为它会泄露信息。因此,如果安全审核报告问题,您应该询问他们发现了哪些漏洞,并准备好表明您正在运行解决这些漏洞的修补版本。运行这些安全审核的公司告诉您升级,因为这是最简单的事情,发现安全但较旧的软件存在问题会让人们认为他们的服务很有价值,但大公司在实践中只是使用修补的发行版软件包。