脆弱性スキャナから「OpenSSHバージョンに複数の脆弱性がインストールされていません」または「OpenSSHバージョンにアップグレード」が報告される
環境
- ONTAP 9
回答
情報
これは、脆弱性スキャナがバージョンを探している場合の一般的な結果です。ONTAPなどの製品では、修正プログラムをバックポートしたり、問題に対応するように構成を変更したりできる場合に、サードパーティのコードをアップグレードしないように選択することがあります。アドバイザリに記載されている製品の修正バージョンがある場合は、特定された基本OpenSSHバージョンに関係なく修正が行われています。OpenSSHには引き続き脆弱性が発見されるため、スキャナのヒットを回避するために製品をアップグレードすると、短期的な利益を得るために最大限の努力が必要になります。
NetAppセキュリティアドバイザリは、脆弱なバージョンのソフトウェアが出荷されている場合ではなく、当社の製品の悪用状況を追跡します。脆弱性スキャナは、(とりわけ)第三者のコードの脆弱なバージョンを検索しますが、悪用可能性をテストすることはありません。結果のレポートには、フォローアップのための潜在的な脆弱性がリストされています。脆弱なバージョンのコードが使用されている可能性がありますが、悪用可能な問題のレポートと見なされるべきではありません。ネットアップが公開しているセキュリティアドバイザリは、これらの問題に対する信頼できる回答であり、NetAppがカバーするCVE IDについて、最新かつ承認された正確な情報を提供する唯一の情報源と見なす必要があります。