<div style="color:black;font: 10pt arial;">Sergio,
<div><br>
</div>

<div>Thanks for your reply, I was afraid of that.  Any suggestion on how we deal with this?<br>
<br>
<br>

<div style="font-family:arial,helvetica;font-size:10pt;color:black"><font size="2">-----Original Message-----<br>
From: Sergio Durigan Junior <sergiodj@ubuntu.com><br>
To: Leroy Tennison <leroy.tennison@verizon.net><br>
Cc: ubuntu-server@lists.ubuntu.com <ubuntu-server@lists.ubuntu.com><br>
Sent: Thu, Oct 28, 2021 2:22 pm<br>
Subject: Re: CVE-2016-20012<br>
<br>

<div dir="ltr">On Thursday, October 28 2021, Leroy Tennison wrote:<br clear="none"><br clear="none">> Under "Notes:" for <a shape="rect" href="https://ubuntu.com/security/CVE-2016-20012" target="_blank">https://ubuntu.com/security/CVE-2016-20012 </a>Seth<br clear="none">> Arnold makes a reference to "openssh-ssh1", does this CVE only apply<br clear="none">> to version 1 of openssh?  The reason I ask is that we have a PCI<br clear="none">> environment and our scanning vendor has noted us as non-compliant<br clear="none">> because of this CVE.  I understand there is disagreement about the<br clear="none">> severity of the CVE but we need an answer and Seth hasn't provided a<br clear="none">> public email address.  If the CVE applies only to ssh version 1 then<br clear="none">> we have an answer.<br clear="none">> A related question, would using a certificate-based ssh configuration avoid this issue?<br clear="none">> Thanks for your help.<br clear="none"><br clear="none">Hello Leroy,<br clear="none"><br clear="none">I looked at the CVE and upstream fix/discussion, and it doesn't seem to<br clear="none">me like this is just applicable to the version 1 of the protocol.  For<br clear="none">example, take a look at the following highlighted comment:<br clear="none"><br clear="none">  <a shape="rect" href="https://github.com/openssh/openssh-portable/blob/d0fffc88c8fe90c1815c6f4097bc8cbcabc0f3dd/auth2-pubkey.c#L261-L265" target="_blank">https://github.com/openssh/openssh-portable/blob/d0fffc88c8fe90c1815c6f4097bc8cbcabc0f3dd/auth2-pubkey.c#L261-L265</a><br clear="none"><br clear="none">You will notice that it tries to send a userauth message using SSH2:<br clear="none"><br clear="none">  if ((r = sshpkt_start(ssh, SSH2_MSG_USERAUTH_PK_OK))...<br clear="none"><br clear="none">I read Seth's notes as a simple warning for those users who rely on<br clear="none">openssh-ssh1 (likely due to old devices), letting them know that the fix<br clear="none">for this CVE may not be provided for them if doing so means breaking<br clear="none">compatibility with said old equipments.
<div class="yqt6760223767" id="yqtfd70982"><br clear="none"><br clear="none">Thanks,</div>
<br clear="none"><br clear="none">-- <br clear="none">Sergio<br clear="none">GPG key ID: E92F D0B3 6B14 F1F4 D8E0  EB2F 106D A1C8 C3CB BF14
<div class="yqt6760223767" id="yqtfd23421"><br clear="none"></div>
</div>
</font></div>
</div>
</div>