目前使用的是 Amazon Linux 2,我们的 VA 工具表示发现了 openSSH7.4p1 的多个漏洞,并表示这些漏洞已使用更高版本的 OpenSSH 进行了修补。我发现的问题是,当我尝试为 openssh 运行 yum 更新时,它会返回一条消息:没有可供更新的软件包。所以,我的问题是:截至 2023 年 5 月 16 日,OpenSSH 7.4p1 是否存在任何漏洞?
相关 CVE:CVE-2020-15778 CVE-2021-41617 CVE-2019-6109 CVE-2019-6110 等。
答案1
Amazon Linux 2 与 CentOS 7 密切相关,CentOS 7 是 RedHat Enterprise Linux 7 的开源重新命名。
由于 RHEL 喜欢使用稳定的软件包,因此他们通常会自行确保他们使用的软件版本获得后续版本的所有重要安全更新。
--changelog
这可以在任何 RPM 包中使用命令的查询选项看到rpm
。输出相当长,因此我们将grep
在 2000 年之后使用 CVE 的 a 来限制输出:
rpm -q --changelog openssh | grep CVE-20
对于最新版本的openssh-7.4p1
,我可以看到您列表中的 CVE-2021-41617 已于 2021 年 9 月 30 日通过修复得到解决。如果您问“该 CVE 的修复是什么?”或者“列表中的其他 CVE 怎么样?”,您可以在CVE 的 RHEL 文档
如果你看CVE-2020-15778,CVE-2019-6109, 和CVE-2019-6110它们被列为“不会修复”,并给出了不提供修复的原因。
这些类型的安全扫描通常只查看已安装软件的版本号,并将其与已知 CVE 目录进行比较,但不会尝试发现该软件是否确实受到任何这些漏洞的影响。如果您使用的是受支持的最新发行版,则很可能任何主要漏洞都已经或即将得到修复。