我们在某些 ubuntu 18.04 服务器上收到了 OpenSSH 信息泄露漏洞 CVE-2020-14145 CVE-2020-15778,建议的修复方法是升级到 OpenSSH 8.4/8.4P1
但是所有 18.04 服务器上的 OpenSSH 当前版本都是 7.6,并且没有可用的 OpenSSH 8.4/8.4P1 包。
因此,请建议您是否要发布 openssh 8.4 软件包以便在 18.04 服务器上进行更新。
请注意:我们无法进行“构建工具”方法安装,我们的选择是从 ubuntu 获取软件包进行更新,或者请让我们知道是否可以安全地忽略或禁用此规则
答案1
Ubuntu 安全团队工程师通常修补漏洞而不是升级到较新的版本(有一些例外)。LTS 版本的主要目标是不升级大多数软件,因为这需要大量新测试并破坏现有工作流程。因此,在 18.04 系统上使用 openssh 8.4 根本不可能发生。
修补漏洞(通常使用上游提供的补丁)是一种缓解漏洞的 100% 可接受方法。这是 Ubuntu(以及之前的 Debian)几十年来一直使用的方法。
涉及更改 LTS 版本主要版本的“建议修复”应该被非常怀疑地看待——遵循这样的建议可能会破坏您的系统。
那些因为其他原因而真正想要使用较新版本的 OpenSSH 的人应该使用较新版本的 Ubuntu。