亲爱的 Ubuntu 社区,
我对 CVE-2021-41617 有疑问,https://ubuntu.com/security/CVE-2021-41617我知道需要修复 Ubuntu Jammy,但在更新日志中https://launchpad.net/ubuntu/jammy/+source/openssh/+changelog我可以看到 CVE-2021-41617 已修复。安全扫描器还发现 Ubuntu Jammy 容易受到上述 CVE 的攻击。有人知道为什么 Jammy 仍然有漏洞吗?我遗漏了什么吗?
提前致谢
答案1
现有证据可以得出结论:CVE 缓解补丁确实在 2021 年应用,并且这种差异有合理的解释。
该补丁似乎是在 Debian 上应用的,而不是由 Ubuntu 安全团队应用的。参考错误编号“ (closes: #995130)”是 Debian 错误参考,而不是 Launchpad 错误。
没什么问题——这是一个进行修补的合理位置,并且修补是由一位对该代码有丰富经验且在 Debian 和 Ubuntu 都享有盛誉的开发人员完成的。但这也许解释了为什么 Ubuntu 跟踪器没有注意到。
我有已 pingUbuntu 安全团队审查并决定是否需要对其跟踪器进行任何更改。