すべてのDebian 11システムは自動的にCVE-2023-38408に脆弱ですか?

すべてのDebian 11システムは自動的にCVE-2023-38408に脆弱ですか?

私が間違っていることを心から願っていますが、Debian 11には脆弱なOpenSSHバージョンがあるようです。

私のOpenSSHバナーは、私のOpenSSHバージョンが次のように報告しています。

8.4p1 Debian 5+deb11u1

sshdを確認しましたが、同じバージョンが報告されました。

~によるとこれCVE-2023-38408 9.3p2より前のバージョンには脆弱性が存在します。

試しましたが、sudo apt update && sudo apt full-upgradeOpenSSHのバージョンが更新されませんでした。

答え1

作成当時(2023年8月17日)ページDebian セキュリティトラッカーの CVE-2023-38408説明する:

以下のメモもあります。

[...]

マイナーな問題には特定の条件が必要で、再公開時には常に注意が必要です。

[...]

この脆弱性を悪用するには、被害者システムに特定のライブラリが必要です。リモートの悪用には、攻撃者が制御するシステムにエージェントを渡す必要があります。

関連情報