私はdebian distribを使ってGoogle Cloud Computingでウェブサイトを運営しています。最近のセキュリティ監査を実施した結果、推奨事項の1つは、OpenSSHを7.4から7.8以上にアップグレードすることでした。apt展示
openssh-server/oldstable,now 1:7.4p1-10+deb9u6 amd64 [installed,upgradable to: 1:7.4p1-10+deb9u7]
適切なアップグレードで私たちができる最善の方法は、少し新しい7.4バージョンにアップグレードするようです。 7.8に強制する方法はありますか?それとも新しいカーネルが必要ですか?ソースをダウンロード、コンパイル、インストールできますが、これによりシステムの他の部分がクラッシュするのでしょうか?こちらは生産現場なので驚きを望んでいません。
ベストアンサー1
一般的に言えば、実行中の安定した Debian バージョンの最新バージョンを使用する必要があります。このリリースでは、すべてのセキュリティ修正が適用されます。この場合、CVE-2018-15473はStretchとBusterの最新バージョンにアップグレードすることで修正されました。
ほとんどのLinuxディストリビューションはパッケージを最新バージョンに更新するのではなく、セキュリティ修正を最新の安定バージョンにバックポートするため、セキュリティ脆弱性スキャナは誤検出を表示することがよくあります。多くの場合、最新バージョンには大きな変更や互換性のない動作がある可能性があり、ユーザーは安定したバージョンを自動的に更新して問題を解決するのが好きではありません。
ほとんどの場合、これらのバージョンには外部システムに公開される区別されたバージョン番号は含まれていません。セキュリティの観点から見ると、バージョン番号は情報漏洩のために一般的に眉をひきます。したがって、セキュリティ監査で問題が報告された場合は、見つかった脆弱性が何であるかを尋ねて、その脆弱性を解決するパッチバージョンを実行していることを示す準備をする必要があります。これらのセキュリティ監査を実施する企業は、アップグレードが最も簡単な方法であるため、アップグレードするように指示し、安全であるが古いソフトウェアで問題を発見した場合、人々は自分のサービスが価値があると考えるが、実際には大企業ではパッチ付き配布ソフトウェアパッケージを使用するします。