%EC%9D%B4%20%EC%B5%9C%EC%8B%A0%20%EB%B2%84%EC%A0%84%EC%9D%B4%EA%B3%A0%20%EB%B2%84%EA%B7%B8%20%EC%88%98%EC%A0%95%EC%9D%B4%20%EA%B0%80%EB%8A%A5%ED%95%A9%EB%8B%88%EA%B9%8C%3F.png)
현재 Amazon Linux 2를 사용하는 당사의 VA 도구는 openSSH7.4p1에서 여러 취약점을 발견했으며 이러한 취약점이 최신 버전의 OpenSSH를 사용하여 패치되었다고 밝혔습니다. 내가 발견한 문제는 openssh에 대해 yum update를 실행하려고 하면 업데이트할 수 있는 패키지가 없습니다라는 메시지가 반환된다는 것입니다. 제 질문은 2023년 5월 16일 현재 OpenSSH 7.4p1에 취약점이 있습니까?입니다.
관련 CVE: CVE-2020-15778 CVE-2021-41617 CVE-2019-6109 CVE-2019-6110 등
답변1
Amazon Linux 2는 RedHat Enterprise Linux 7의 오픈 소스 리브랜드인 CentOS 7과 밀접한 관련이 있습니다.
RHEL은 안정적인 소프트웨어 패키지를 사용하는 것을 좋아하기 때문에 일반적으로 사용하는 소프트웨어 버전이 후속 버전에 대한 모든 중요한 보안 업데이트를 받을 수 있도록 스스로 책임을 집니다.
--changelog이는 명령의 쿼리 옵션을 사용하는 모든 RPM 패키지에서 볼 수 있습니다 rpm. 출력이 꽤 길기 때문에 grepCVE 2000을 사용하여 출력을 제한하겠습니다.
rpm -q --changelog openssh | grep CVE-20
최신 버전의 경우 openssh-7.4p1목록에 있는 CVE-2021-41617이 2021년 9월 30일 수정 사항을 통해 해결된 것으로 확인됩니다. "이 CVE의 수정 사항은 무엇입니까?" 또는 "목록에 있는 다른 CVE는 어떻습니까?"라고 묻는 경우CVE용 RHEL 문서
당신이 보면CVE-2020-15778,CVE-2019-6109, 그리고CVE-2019-6110"수정되지 않음"으로 표시되며 수정 사항이 제공되지 않는 이유가 제공됩니다.
이러한 유형의 보안 검색은 일반적으로 설치된 소프트웨어의 버전 번호만 보고 이를 알려진 CVE 카탈로그와 비교하지만, 소프트웨어가 실제로 이러한 취약점의 영향을 받는지 여부는 알아내려고 시도하지 않습니다. 지원되는 최신 릴리스를 사용하는 경우 주요 취약점이 이미 해결되었거나 곧 해결될 가능성이 높습니다.