Ich verwende OpenSSH Version 7.4p1. In der CVE-Datenbank stellte ich fest, dass cpe: / a: openbsd: openssh: 7.4: p1 für CVE-2017-15906 anfällig ist. Https://www.cvedetails.com/cve/CVE-2017- 15906 / .
Bedeutet dies, dass meine Version sicher betroffen ist, oder ist es möglich, dass diese Version dieselbe Nummer hat, aber bereits gepatcht ist? Wie kann ich das überprüfen?
openssh
vulnerability
user187205
quelle
quelle
Antworten:
CentOS wird nur RHEL neu erstellt, damit Ihr System sicher ist, wenn Sie ein Update auf
openssh-7.4p1-16.el7
oder ein ähnliches System durchgeführt haben, das in CentOS 7 geliefert wird .Im Red Hat-Zugriffsportal befindet sich eine CVE-Datenbank:
https://access.redhat.com/security/cve/cve-2017-15906
Mit Links zu den Erratas, die die Probleme beheben, und mit einer Liste von Paketen, die das spezifische Problem beheben:
https://access.redhat.com/errata/RHSA-2018:0980
Ebenso können Sie das Änderungsprotokoll Ihres installierten Pakets abrufen und es sollte etwas auflisten, das mit dieser CVE-Nummer zusammenhängt.
Discaimer: Ich habe dieses Paket in dieser RHEL-Version repariert.
quelle
Wurde im November 2017 in 7.4p1-16 behoben.
quelle
grep -A20
für "zwanzig ZeilenA
nach einem Match" (und seine Freunde,-B
vor und nach dem-C
Text)OpenSSH 7.4p1 ist von CVE-2017-15906 betroffen .
... es sei denn, der Distributor dieses OpenSSH-Pakets hat es gepatcht.
Ein Beispiel für einen Distributor, der dieses bestimmte CVE in einem betroffenen OpenSSH-Paket patcht , finden Sie in diesem Änderungsprotokolleintrag für 7.5p1 unter Ubuntu (er hat kein gepatchtes 7.4p1 verteilt, soweit ich es nach einem kurzen Blick sehen konnte):
Ähnliches gilt für Fedora (7.4p1) .
Leider scheint CentOS keine leicht zugängliche Datenbank mit Paketaktualisierungen zu haben (die ich finden konnte).
quelle
Laut Bugzilla ist der Sicherheitsfehler in der
7.6
auf RHEL 7 basierenden Version des Systems behoben :Die Beschreibung auf RHEL CVE-2017-15906
Auch diese Informationen sind auf der verfügbaren OpenSSH 7.6 Release-Info
Der Fehler wurde am 10. April 2018 behoben für
openssh-7.4p1
: openssh-Sicherheit, Fehlerbehebung und Erweiterungsupdatequelle