libssh
による最近のセキュリティの発表により( CVE-2018-109 )実行中のサービスのいずれかが脆弱なライブラリを使用しているかどうかを確認するにはどうすればよいですか?やがてyum upgrade
システムですが、今のところ、私が危険にさらされているかどうかを知るのはいいことです。 EC2でAmazon Linux 2AMIを使用しています。ありがとう!
libssh2
を必要とするすべてのパッケージのリストをrpm -q --whatrequires
で取得できます。
私のAmazon Linux 2インスタンスでは、何も必要としないようです。
[root@ip-xx-xx-xx-xx ~]# rpm -q --whatrequires libssh2
no package requires libssh2
念のため、共有ライブラリを開いているすべてのプロセスを一覧表示してみてください。
[root@ip-xx-xx-xx-xx ~]# rpm -ql libssh2
/usr/lib64/libssh2.so.1
/usr/lib64/libssh2.so.1.0.1 <== this is the one
...
[root@ip-xx-xx-xx-xx ~]# fuser /usr/lib64/libssh2.so.1.0.1
(... empty output ...)
[root@ip-xx-xx-xx-xx ~]#
私のAmazon Linux 2 EC2では何もlibssh2
を使用していないようです。 fuser
はroot
として、またはSudo
とともに実行する必要があります。そうしないと、システムプロセスが表示されません。
それが役に立てば幸い:)
ここで説明する脆弱性は、ssh serverをlibsshコードを使用して実行するプログラムにのみ適用されます。実質的にすべてのVMで使用されるサーバーは、libsshを使用しないOpenSSHです。これはlibsshをsshクライアントとして使用するプログラムとは無関係です。
この脆弱性はlibssh2ではなくlibsshに存在します。これらは完全に異なり、無関係なパッケージです。
Libsshがインストールされていない場合、脆弱性はありません。システムにlibsshがインストールされていないため、脆弱ではありません。
Libsshがインストールされている場合でも、libsshを使用する代替SSHサーバーも実行している必要があります。あなたはこれをしていないので、あなたは脆弱ではありません。