Início / computer / Perguntas / 1848061
Accepted
hb0
Asked: 2024-07-04 20:49:16 +0800 CST

O cos-101-17162-463-55 deve conter uma versão ssh mais recente para corrigir o CVE-2024-6387?

  • 772

O Google está afirmando que a imagem do sistema cos-101-17162-463-55não é vulnerável à vulnerabilidade de segurança, CVE-2024-6387mas não diz por quê.

Estou confuso enquanto instalei cos-101-17162-463-55:

> cat /etc/os-release
NAME="Container-Optimized OS"
ID=cos
PRETTY_NAME="Container-Optimized OS from Google"
HOME_URL="https://cloud.google.com/container-optimized-os/docs"
BUG_REPORT_URL="https://cloud.google.com/container-optimized-os/docs/resources/support-policy#contact_us"
GOOGLE_METRICS_PRODUCT_ID=26
GOOGLE_CRASH_ID=Lakitu
KERNEL_COMMIT_ID=d650d6e37bc746134b41f3f34a31d4af7d875438
VERSION=101
VERSION_ID=101
BUILD_ID=17162.463.55

Mas o OpenSSH ainda está em uma das versões vulneráveis:

> ssh -V
OpenSSH_8.5p1, OpenSSL 1.1.1v  1 Aug 2023

https://www.openssh.com/txt/release-9.8

diz que as versões 8.5p1 - 9.7p1são afetadas.

Eles acabaram de aplicar outro patch para corrigir isso sem atualizar ssh?

Verifiquei grep 'LoginGraceTime' /etc/ssh/sshd_configqual é o patch sugerido pelo Google , mas parece que não foi aplicado.

security

1 respostas

  1. Best Answer

    Isto é realmente muito confuso.

    Minha cabeça gira ao ler esta postagem do blog da Qualys , mas se você estiver usando, cos-101-17162-463-55tudo bem.

    Minha suposição é que, se cos-101-17162-463-55estiver totalmente corrigido, ele contém uma porta traseira de qualquer patch existente para o OpenSSH 8.5p1 que atenua essa vulnerabilidade.

    O problema com os pacotes fornecidos pelo sistema operacional é que eles geralmente mantêm o mesmo número de versão, mas fazem backport de pacotes silenciosamente. Números de versão estritos são confusamente relevantes apenas para instalações diretas de código-fonte.

    Esta página de notas de lançamento oficiais do Google parece resolver o problema: Notas de lançamento do Container-Optimized OS: Milestone 101 .

    A atualização de 1º de julho de 2024 indica que esses itens foram afetados; o último item é CVE-2024-6387 que é a versão OpenSSH:

    • Segurança : Corrigido CVE-2024-38662 no kernel Linux.
    • Alterado : alterações no sysctl do tempo de execução:
      • Adicionado: net.ipv4.tcp_rto_min_us: 200000
    • Segurança : Corrigido CVE-2024-6387 em net-misc/openssh.

    Em geral, eu confiaria que o conselho do Google fosse independente da versão indicada do OpenSSH; por mais contra-intuitivo que isso possa parecer.

    Atualização : graças a um comentário, agora sei que existe uma ferramenta Python que pode ser usada para verificar hosts em busca dessa falha do OpenSSH.

    • 1

relate perguntas