谷歌表示,系统映像cos-101-17162-463-55不易受到安全漏洞的影响CVE-2024-6387,但没有说明原因。
我很困惑,因为我已经安装了cos-101-17162-463-55:
> cat /etc/os-release
NAME="Container-Optimized OS"
ID=cos
PRETTY_NAME="Container-Optimized OS from Google"
HOME_URL="https://cloud.google.com/container-optimized-os/docs"
BUG_REPORT_URL="https://cloud.google.com/container-optimized-os/docs/resources/support-policy#contact_us"
GOOGLE_METRICS_PRODUCT_ID=26
GOOGLE_CRASH_ID=Lakitu
KERNEL_COMMIT_ID=d650d6e37bc746134b41f3f34a31d4af7d875438
VERSION=101
VERSION_ID=101
BUILD_ID=17162.463.55
但OpenSSH仍处于易受攻击的版本之一:
> ssh -V
OpenSSH_8.5p1, OpenSSL 1.1.1v 1 Aug 2023
https://www.openssh.com/txt/release-9.8
表示版本8.5p1 - 9.7p1受到影响。
他们是否只是应用另一个补丁来修复此问题而没有进行更新ssh?
我检查了Google 建议的grep 'LoginGraceTime' /etc/ssh/sshd_config补丁,但似乎并未应用。
这确实非常令人困惑。
阅读 Qualys 的这篇博客文章时我感到头晕目眩,但如果您正在使用,
cos-101-17162-463-55那么应该没问题。我的假设是,如果
cos-101-17162-463-55已完全修补,它包含针对 OpenSSH 8.5p1 的任何补丁的反向移植,以缓解此漏洞。操作系统提供的软件包的特点是它们通常保留相同的版本号,但会默默地向后移植软件包。严格的版本号仅与直接源代码安装有关,令人困惑。
谷歌的这一页官方发布说明似乎解决了这个问题:Container-Optimized OS Release Notes: Milestone 101。
2024 年 7 月 1 日的更新表明这些项目受到了影响;最后一项是 CVE-2024-6387,即 OpenSSH 版本:
总的来说,我相信 Google 的建议与所指示的 OpenSSH 版本无关;尽管这看起来可能违反直觉。
更新:感谢评论,我现在知道有一个 Python 工具可用于扫描主机以查找此 OpenSSH 缺陷。