CVE-2023-38408 -- aggódjunk?

Megmondom őszintén, nem nagyon használtam ilyen ssh-agent-et, legfeljebb akaratomon kívül (vö: segítőszoftver), de az igaz, hogy egyes gépeken még csak 8.7-es OpenSSH van, például azért, mert az szót ért a még régebbi verziókkal. (Amivel az sem ért szót, azon meg van telnetd.)

https://blog.qualys.com/vulnerabilities-threat-research/2023/07/19/cve-…
https://news.ycombinator.com/item?id=36790196
https://www.openssh.com/txt/release-9.3p2

( NevemTeve | 2023. 07. 20., cs – 07:18 )

Kezdetnek:

configure: WARNING: unrecognized options: --with-md5-passwords

( NevemTeve | 2023. 07. 20., cs – 07:33 )

Szerkesztve: 2023. 07. 20., cs – 07:59

Téves, ismét bénáztam.

( willy v | 2023. 07. 20., cs – 17:58 )

* Exploitation requires the presence of specific libraries on
  the victim system.
* Remote exploitation requires that the agent was forwarded
  to an attacker-controlled system.

Exploitation can also be prevented by starting ssh-agent(1) with an
empty PKCS#11/FIDO allowlist (ssh-agent -P '') or by configuring
an allowlist that contains only specific provider libraries.