O Google está afirmando que a imagem do sistema cos-101-17162-463-55não é vulnerável à vulnerabilidade de segurança, CVE-2024-6387mas não diz por quê.
Estou confuso enquanto instalei cos-101-17162-463-55:
> cat /etc/os-release
NAME="Container-Optimized OS"
ID=cos
PRETTY_NAME="Container-Optimized OS from Google"
HOME_URL="https://cloud.google.com/container-optimized-os/docs"
BUG_REPORT_URL="https://cloud.google.com/container-optimized-os/docs/resources/support-policy#contact_us"
GOOGLE_METRICS_PRODUCT_ID=26
GOOGLE_CRASH_ID=Lakitu
KERNEL_COMMIT_ID=d650d6e37bc746134b41f3f34a31d4af7d875438
VERSION=101
VERSION_ID=101
BUILD_ID=17162.463.55
Mas o OpenSSH ainda está em uma das versões vulneráveis:
> ssh -V
OpenSSH_8.5p1, OpenSSL 1.1.1v 1 Aug 2023
https://www.openssh.com/txt/release-9.8
diz que as versões 8.5p1 - 9.7p1são afetadas.
Eles acabaram de aplicar outro patch para corrigir isso sem atualizar ssh?
Verifiquei grep 'LoginGraceTime' /etc/ssh/sshd_configqual é o patch sugerido pelo Google , mas parece que não foi aplicado.