检查是否安装了RHEL提供的最新openssh补丁

tag-icon tag-icon rpm openssh
检查是否安装了RHEL提供的最新openssh补丁

我们的其中一个地方遇到了安全威胁RHEL服务器说SSH 服务器配置为使用密码块链接

据我所知,RHEL 系统通过其 RHN 卫星提供安全更新,只需运行命令即可实现yum update。但是,我如何知道我的 RHEL 系统是否应用了安全补丁?

聚苯乙烯:我知道漏洞/威胁/问题的 CVE 编号。

所以我的问题是,我是否可以验证 RHELyum update命令是否修复了我系统中的错误?

答案1

您可以通过以下方式检查yum-plugin-security

--cve  This option includes packages that say they fix a CVE - Common
       Vulnerabilities and Exposures ID (http://cve.mitre.org/about/),
       Eg. CVE-2201-0123.

所以尝试:

yum --cve <Your CVE here> info updates

您可以查看软件包对应的更新日志来查看已修复的错误信息:

$ rpm -q --changelog openssh | grep -i cve
- change default value of MaxStartups - CVE-2010-5107 - #908707
- merged cve-2007_3102 to audit patch
- fixed audit log injection problem (CVE-2007-3102)
- CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
- CVE-2006-4924 - prevent DoS on deattack detector (#207957)
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)
- use fork+exec instead of system in scp - CVE-2006-0225 (#168167)

答案2

对的,这是可能的。

CVE 是公开的信息安全漏洞和暴露的字典。如果我们知道 CVE 编号,我们可以通过检查 CVE 编号来检查 RHEL 是否修复了我们系统中的威胁这里

所以就我而言,CVE 编号是CVE-2008-5161。我检查了上述链接中的 CVE 编号,发现openssh更新提供的包中提供了修复程序转速。

因此,我运行了查询ssh -V,输出如下:

OpenSSH_4.3p2

但上面的查询只返回版本。

但是,我需要知道该补丁是否openssh-4.3p2-36适用于我的系统。 RHEL 更新应用于不更新软件包编号的补丁中。因此,例如,如果 RHEL 5 系统安装了 OpenSSH 4.3 版本,则更新不会进入下一个 4.4 版本,而是修复相同版本,但以补丁形式修复。此功能称为向后移植在 RHEL 中。因此,对于我所面临的安全威胁,我需要验证补丁 36 是否安装在我的系统中。我可以使用命令检查相同的内容,

rpm -qa | grep -i ssh

上面的命令返回的输出为,

openssh-askpass-4.3p2-82.el5
libssh2-devel-1.2.7-1.el5.remi
openssh-server-4.3p2-82.el5
libssh2-1.2.7-1.el5.remi
openssh-clients-4.3p2-82.el5
openssh-4.3p2-82.el5

这意味着我的系统中有 RHEL 提供的最新安全补丁。

相关内容