2024年7月1日Openssh官网发布了最新的9.8版本的软件包,但由于目前欧拉的开源社区提供的rpm包版本还在8.+,根据社区的CVE安全公告,涉及的产品版本有如下几个:
为什么没有22.03-TLS 和 SP2 版本?是这两个版本暂时未受到影响吗?
如果这两个产品确实未受到影响,是否可以暂时从操作系统层面规避该漏洞?
你的截图里对应的openEuler-22.03-LTS-SP3状态显示Fixed(已修复),但我今天下载对应的镜像包,安装后,执行 ssh -V,,发现openssh版本为【OpenSSH_8.2p1, OpenSSL 1.1.1d 10 Sep 2019】。根据漏洞官方披露,受影响的openssh版本为【8.5p1 <= OpenSSH < 9.8p1】。早前openEuler-22.03-LTS-SP3的openssh是8.8。所以openEuler社区对该漏洞的修复是采用了降级,从受影响的8.8降到了8.2。
git issue直接给关闭了,这么大个OpenEuler22.03-LTS就跟看不见似得,响应过慢,其它os早修复完成了
看这样的话,维护周期只有两年,我寻思着既然让大家切换到OpenEuler,起码第一版生命周期也得长点吧,结果是这!!!看情况接下来其它漏洞的处理也应该是这样了。大家OS选型时要慎重,他这个是滚动版本的,当时还以为是所有版本都扩展维护到26年。 吐槽下怎么打个包的事都不愿意做了 
了解了,感谢大佬的答疑