Seite 1 von 1
Einige OpenSSH-Versionen vulnerable
Verfasst: 13.07.2024 19:00:46
von aika
https://forum.mxlinux.org/viewtopic.php ... 35#p783035:
https://forum.mxlinux.org/viewtopic.php ... 48#p783048:
https://www.heise.de/news/RegreSSHion-S ... 84976.html:
... die erste fehlerbereinigte Version ist OpenSSH 9.8p1 ...
https://linuxnews.de/regresshion-neue-s ... itsluecke/:
Betroffene Versionen
OpenSSH-Versionen vor 4.4p1 (2006) sind verwundbar, sofern sie nicht gepatched wurden. Die Versionen von 4.4p1 bis einschließlich 8.5 sind nicht anfällig.
Die Schwachstelle tritt in den Versionen 8.5p1 bis einschließlich 9.8 erneut auf (2020) und wurde jetzt in OpenSSH 9.8p1 erneut geschlossen. Einige Distributionen wie Arch, Debian und Ubuntu bieten die gepatchte Version bereits an. Wer welche Version verwendet, lässt sich auf
https://repology.org/project/openssh/versions verfolgen ...
... Die Versionen von 4.4p1 bis einschließlich 8.5 sind nicht anfällig ...
Code: Alles auswählen
apt policy openssh-client
openssh-client:
Installiert: 1:8.4p1-5+deb11u3
...
Und warum diesbezüglich keine offizielle Entwarnung ( auf security-tracker.debian.org ) ?
Muss man die Wahrheit jetzt auch in der Linux-Welt selbst suchen? Wiedersprüchliche Informationen und Verunsicherung ist der neue Trend überall.
Re: CVE-2020-15778 in OpenSSH
Verfasst: 13.07.2024 19:15:38
von tobo
aika hat geschrieben: 
13.07.2024 19:00:46
Und warum diesbezüglich keine offizielle Entwarnung ( auf security-tracker.debian.org ) ?
Du meinst
sowas?
Muss man die Wahrheit jetzt auch in der Linux-Welt selbst suchen? Wiedersprüchliche Informationen und Verunsicherung ist der neue Trend überall.
Widerprüchlich? In deinem Link steht doch, dass Debian bereits gepatcht hat!?
Re: CVE-2020-15778 in OpenSSH
Verfasst: 13.07.2024 20:12:06
von aika
tobo hat geschrieben: 13.07.2024 19:15:38
aika hat geschrieben: 13.07.2024 19:00:46
Und warum diesbezüglich keine offizielle Entwarnung ( auf security-tracker.debian.org ) ?
Du meinst
sowas?
...
https://security-tracker.debian.org/tra ... -2024-6387:
Code: Alles auswählen
bookworm 1:9.2p1-2+deb12u2 vulnerable
bookworm (security) 1:9.2p1-2+deb12u3 fixed
sid, trixie 1:9.7p1-7 fixed
...
Hier ist fixed ist falsch bei 9.2p1 und 9.7p1
https://security-tracker.debian.org/tra ... 2020-15778:
Hier ist vulnerable falsch bei 8.4p1
https://linuxnews.de/regresshion-neue-s ... itsluecke/:
... Die Versionen von 4.4p1 bis einschließlich 8.5 sind nicht anfällig. Die Schwachstelle tritt in den Versionen 8.5p1 bis einschließlich 9.8 erneut auf (2020) und wurde jetzt in OpenSSH 9.8p1 erneut geschlossen ...
Re: CVE-2020-15778 in OpenSSH
Verfasst: 13.07.2024 20:25:56
von tobo
Siehst du nicht, dass deine beiden links (heise und linuxnews) jeweils CVE-2024-6387 ansprechen und du das Nichtfixen von CVE-2020-15778 anprangerst?
EDIT:
z.B:
Re: CVE-2020-15778 in OpenSSH
Verfasst: 13.07.2024 20:40:48
von aika
Wichtig ist, welche OpenSSH-Version
aktuell sauber ist. Ob der Fix sich nun auf diese oder jene CVE-Nummer bezieht, interessiert mich weniger und verwirrt die Linux-Neulinge.
Aktuell ist auch OpenSSH-9.2p1 und OpenSSH-9.7p1 nicht sauber (bezüglich Dein Link),
in wenigen Tage könnten wieder andere CVE's dazukommen, 4dimensional denken.
Re: CVE-2020-15778 in OpenSSH
Verfasst: 13.07.2024 20:45:49
von tobo
aika hat geschrieben: 13.07.2024 20:40:48
Wichtig ist, welche OpenSSH-Version
aktuell sauber ist.
Und genau diese Frage beantwortet mein Link für Debian!
Ob der Fix sich nun auf diese oder jene CVE-Nummer bezieht, interessiert mich weniger und verwirrt die Linux-Neulinge.
Streust du nicht falsche CVE-Nummern hier ein?
Re: CVE-2020-15778 in OpenSSH
Verfasst: 13.07.2024 20:57:24
von aika
tobo hat geschrieben: 13.07.2024 20:45:49
... Streust du nicht falsche CVE-Nummern hier ein?
Jetzt nicht mehr, Überschrift geändert.