OpenSSH-Server 9.8 aus Backport installieren

[FatManStanding]

Hallo,

ich arbeite noch mit Ubuntu 22.04 und werde so bald auch nicht auf 24.04 updaten. In den Paketquellen von Jammy ist noch OpenSSH 8.9 verfügbar, ich würde gern auf die 9.8 updaten wegen der Sicherheitslücke. Backport-Quellen sind in /etc/apt/sources.list schon eingetragen und Paketquellen sind aktuell.

deb http://de.archive.ubuntu.com/ubuntu/ jammy-backports main restricted universe multiverse

Soweit ich weiß werden aber neue Pakete aus Backport-Quellen normal nicht installiert. apt-cache madison openssh-server findet demnach nur die Version 8.9, aber auch mit apt-policy gibt es keine 9.8. Soweit mir bekannt muss man bei Paket aus Backport konkret anweisen, dass sie aus den Backport-Quellen installiert werden müssen. Wenn ich das ohne Installation mache, findet er aber die neue Version nicht:

apt install openssh-server/jammy-backports --dry-run
HINWEIS: Dies ist nur eine Simulation!
         apt benötigt root-Privilegien für die reale Ausführung.
         Behalten Sie ebenfalls in Hinterkopf, dass die Sperren deaktiviert
         sind, verlassen Sie sich also bezüglich des reellen aktuellen
         Status der Sperre nicht darauf!
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
Paket openssh-server ist ein virtuelles Paket, das bereitgestellt wird von:
  openssh-server:i386 1:8.9p1-3ubuntu0.10 (= 1:8.9p1-3ubuntu0.10)
Sie sollten eines explizit zum Installieren auswählen.

E: Veröffentlichung »jammy-backports« für »openssh-server« konnte nicht gefunden werden.

Was läuft hier falsch? Ist der Eintrag nicht korrekt? Den hab ich nicht selbst vorgenommen, muss automatisch (nach Release von 24.04 vielleicht) passiert sein.

 

[IBISXI]

Hier gibt es was darüber:

https://askubuntu.com/questions/1471684/upgrade-openssh-from-v8-9-to-v9-3-on-22-04-2-lts


Ich würde allerdings empfehlen auf 24.04 zu gehen.
Ich habe mich auch lange davor gedrückt.
Es ging sowas von problemlos.

 

[kartoffelpü]

ich würde gern auf die 9.8 updaten wegen der Sicherheitslücke

22.04 LTS erhält doch noch Support bis April 2027, daher werden bekannte Lücken dort auch geschlossen.

E: du meinst vermutlich RegreSSHion? wurde natürlich in jammy gefixt: https://ubuntu.com/security/CVE-2024-6387

 

[CoMo]

Du fährst doch ein unterstütztes LTS-Release. Da musst du dir keine Gedanken um händische Sicherheitsupdates machen. Die bekommst du automatisch.

Wenn du neuere Pakete willst, update dein OS auf das letzte Release.

 

[graywolf2]

Wenn du Sicherheit willst dann nutze immer LTS Versionen wo neue Features (= dort könnten Lücken enthalten sein) erst nach einem langem Zeitraum nachgereicht werden.

Auch ist man nicht falsch Beraten über die FW beim Hoster (nicht auf der VM) SSH immer nur für die eigene IP frei zu geben.

 

[FatManStanding]

22.04 LTS erhält doch noch Support bis April 2027, daher werden bekannte Lücken dort auch geschlossen.

E: du meinst vermutlich RegreSSHion? wurde natürlich in jammy gefixt: https://ubuntu.com/security/CVE-2024-6387

Ich dachte das wurde erst mit Version 9.8 gefixt. Ich habe aktuell noch die 8.9. Oder heißt das, dass der Fix auch in der 8.9 die man in Jammy installieren kann eingebaut wurde?

 

[kartoffelpü]

Exakt.

 

[CoMo]

Security Patches werden backported. Deine Version hat den Fix bereits.

Wär doch etwas seltsam, wenn man ein offiziell unterstütztes LTS-Release verwendet und dann Sicherheitspatches händisch reinfummeln müsste, oder nicht?

Du bekommst wichtige Updates so lange, bis dein Release nicht mehr unterstützt wird. Also bis April 2027.

 

[Marco01_809]

Ich dachte das wurde erst mit Version 9.8 gefixt. Ich habe aktuell noch die 8.9. Oder heißt das, dass der Fix auch in der 8.9 die man in Jammy installieren kann eingebaut wurde?

Zum Grundverständnis was Distributionen angeht:

OpenSSH sagt das Problem ist erst in der Version 9.8 behoben. Und wenn du deinen openssh-server direkt bei openssh.com runterlädst dann stimmt das auch. Version 8.9 hat den Fix nicht und ist angreifbar.

Du hast aber gar nicht Version 8.9, sondern 8.9p1-3ubuntu0.10. Der ganze Versionsschwanz ist nicht nur Deko sondern sagt dir dass du nicht die originale Version 8.9 hast, sondern dass da noch Modifikationen von Ubuntu eingeflossen sind. Wie z.B. der Patch für RegreSSHion.

Warum patcht Ubuntu Version 8.9 statt einfach 9.8 auszuliefern? Weil Ubuntu versprochen hat eine stabile Distribution zu sein, wo sich die Software nicht verändert. Neue Version heißt Features und Design ändern sich und es kommen wieder neue Bugs dazu. Darum werden nur die minimal notwendigen Änderungen auf 8.9 portiert um die Sicherheitslücke zu schließen.

OpenSSH kann natürlich unmöglich für jede Distribution sagen welche Version gepatcht ist. Ist auch gar nicht ihre Aufgabe. Jede Distribution versteht sich im Kern als geschlossenes Software-Universum und ist selbst verantwortlich für die Software die sie ausliefern. Daher sind sie (downstream) dein Ansprechpartner für Bugs und Sicherheitslücken, die sie dann ggf. an den upstream (OpenSSH.com) weiterleiten bzw. von dort Fixes beziehen.
Da du eine "veraltete" und zudem modifizierte Version nutzt kann und will OpenSSH.com dir auch gar nicht direkt helfen.
(Oft ist es aber so dass upstreams auch selber alte Versionen noch mit fixes weiterpflegen, damit der Portierungsaufwand nicht zigfach für jede Distribution geleistet werden muss)

 

[foofoobar]

https://de.wikipedia.org/wiki/Backport