漏洞扫描程序报告 "OpenSSH 版本未安装多个漏洞" 或 "升级到 OpenSSH 版本"

信息

这是漏洞扫描程序寻找版本的常见结果。当可以反向移植修复程序或更改配置以解决问题时，ONTAP 等产品可能会选择不升级第三方代码。如果公告中列出了产品的固定版本，则无论确定的基本 OpenSSH 版本如何，都会进行修复。升级产品以避免扫描程序命中将导致最大努力换取短期收益，因为 OpenSSH 将继续发现漏洞。

NetApp 安全建议跟踪我们产品的可利用性状态，而不是产品是否附带易受攻击的软件版本。漏洞扫描程序搜索易受攻击的第三方代码版本（除其他外），但不测试可利用性。由此产生的报告列出了需要跟进的潜在漏洞，表明可能正在使用易受攻击的代码版本，但不应将其视为可利用问题的报告。我们发布的安全公告是这些问题的权威答案，应被视为 NetApp 针对其所涵盖的 CVE ID 提供的最新、授权和准确信息的唯一来源。