現在、Amazon Linux 2を使用している当社のVAツールは、openSSH7.4p1でいくつかの脆弱性を発見し、これらの脆弱性が最新バージョンのOpenSSHを使用してパッチされていることを明らかにしました。私が見つけた問題は、opensshに対してyum updateを実行しようとすると、更新できるパッケージがないというメッセージが返されることです。私の質問は、2023年5月16日現在、OpenSSH 7.4p1に脆弱性がありますか?
関連CVE:CVE-2020-15778 CVE-2021-41617 CVE-2019-6109 CVE-2019-6110など
答え1
Amazon Linux 2は、RedHat Enterprise Linux 7のオープンソースリブランドCentOS 7と密接に関連しています。
RHELは信頼性の高いソフトウェアパッケージを使用するのが好きなので、一般的に使用するソフトウェアのバージョンが後続のバージョンに関するすべての重要なセキュリティ更新プログラムを受け取ることを保証する責任があります。
--changelog
これは、コマンドのクエリオプションを使用するすべてのRPMパッケージで表示できますrpm
。出力がかなり長いので、grep
CVE 2000を使用して出力を制限します。
rpm -q --changelog openssh | grep CVE-20
最新バージョンでは、openssh-7.4p1
リストにあるCVE-2021-41617は2021年9月30日の修正によって解決されたことが確認されます。 「このCVEの修正は何ですか?」または、「リスト内の他のCVEはどうですか?」と尋ねられた場合CVE用RHELドキュメント
見たらCVE-2020-15778、CVE-2019-6109とCVE-2019-6110「未修正」と表示され、修正が提供されない理由が提供されます。
この種のセキュリティスキャンは通常、インストールされているソフトウェアのバージョン番号のみを報告し、それを既知のCVEカタログと比較しますが、ソフトウェアが実際にこれらの脆弱性の影響を受けるかどうかを判断しようとしません。サポートされている最新のリリースを使用している場合は、主な脆弱性がすでに解決されているかすぐに解決される可能性が高くなります。