Início / ubuntu / Perguntas / 1519360
Accepted
ROODAY
Asked: 2024-07-03 00:55:24 +0800 CST

openssh-client/openssh-server mostra versão diferente de ssh -V

  • 772

Eu queria atualizar minhas versões do openssh para abordar CVE-2024-6387 e, depois de executar apt update, apt upgradevejo esta saída:

❯ sudo apt upgrade openssh-client
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
openssh-client is already the newest version (1:8.9p1-3ubuntu0.10).
openssh-client set to manually installed.
Calculating upgrade... Done
#
# OpenSSH CVE-2024-6387 has been fixed for 22.04 LTS, 23.10 and 24.04 LTS.
# RegreSSHion: Possible RCE Due To A Race Condition In Signal Handling.
# For more details see: https://ubuntu.com/security/notices/USN-6859-1.
#
The following packages have been kept back:
  python3-update-manager update-manager update-manager-core
0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.
❯ sudo apt upgrade openssh-server
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
openssh-server is already the newest version (1:8.9p1-3ubuntu0.10).
Calculating upgrade... Done
#
# OpenSSH CVE-2024-6387 has been fixed for 22.04 LTS, 23.10 and 24.04 LTS.
# RegreSSHion: Possible RCE Due To A Race Condition In Signal Handling.
# For more details see: https://ubuntu.com/security/notices/USN-6859-1.
#
The following packages have been kept back:
  python3-update-manager update-manager update-manager-core
0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.
❯ ssh -V
OpenSSH_8.9p1 Ubuntu-3ubuntu0.10, OpenSSL 3.0.2 15 Mar 2022

Portanto, tanto meu openssh-client quanto o openssh-server estão na versão 8.9p1-3, que é a versão corrigida, mas quando executo ssh -Vvejo 8.9p1, que parece ser a versão sem patch. Esse comportamento é esperado ssh -Vou de alguma forma está apontando para a versão errada e, em caso afirmativo, como posso corrigir isso?

apt

1 respostas

  1. Best Answer

    O -3ubuntu0.10for Jammy 22.04 é uma string de versão de revisão do pacote , não a própria string de versão do OpenSSH (que é 8.9p1). A versão base do OpenSSH que está no sistema, excluindo revisões de pacotes e patches incluídos dessa forma, é 8.9p1. Por padrão, a chamada do OpenSSH -V(versão) indicará apenas a versão base do OpenSSH e não os dados de revisão do pacote Ubuntu.

    Você ainda está corrigido, mas devido à forma como o software é compilado, você não verá a string da versão atualizada na saída da versão do OpenSSH, o que é um comportamento esperado.

    Observe que você realmente precisa verificar a revisão do pacote instalado, seus conjuntos de patches e os avisos de segurança para identificar o que está ou não incluído. Você está corrigido para CVE-2024-6387 (também conhecido como RegreSSHion), desde que a versão do pacote instalado para o lançamento seja igual ou mais recente que a seguinte (do rastreador Ubuntu CVE para CVE-2024-6487 ):

    • Ubuntu Jammy (22.04 LTS):1:8.9p1-3ubuntu0.10
    • Ubuntu Mantic (23.10):1:9.3p1-1ubuntu3.6
    • Ubuntu Nobre (24.04 LTS):1:9.6p1-3ubuntu13.3

    Versões básicas do OpenSSH anteriores 8.5p1não são afetadas.

    • 7

relate perguntas