OpenSSHの深刻度が高い脆弱性(CVE-2024-6387)が発見
(cve.org)2024年7月1日、glibcベースのLinuxシステム上のOpenSSHサーバー(sshd)に深刻な脆弱性が公開された。これにより、認証されていないリモートコード実行(RCE)がroot権限で発生する可能性がある。この脆弱性(CVE-2024-6387)の深刻度は高い(CVSS 8.1)と評価されている。
影響を受けるバージョン:
- OpenSSH 8.5p1 ~ 9.8p1
- 4.4p1以前のバージョン(ただし、CVE-2006-5051またはCVE-2008-4109に対するバックポートパッチを適用していない場合)
現在の状況:
2024年7月1日時点で、全世界で約700万件のOpenSSH 8.5p1-9.7p1バージョンのインスタンスが公開状態にあり、合計730万件の脆弱なバージョンが存在する。
対応策:
すべてのOpenSSHインスタンスを最新バージョン(9.8p1以上)に更新することが推奨される。
参考リンク 1. GCP向け対応策リンク:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
11件のコメント
Amazon Linux 2 はこの脆弱性の影響を受けないそうです
https://explore.alas.aws.amazon.com/CVE-2024-6387.html
Ubuntu は、ここに記載されているバージョンにアップデートすればよさそうですね。
https://ubuntu.com/security/notices/USN-6859-1
openssh_8.9p1-3ubuntu0.10.debian.tar.xzopenssh_8.9p1.orig.tar.gz2つのファイルのようですが、ソースコードをインストールする方法で進めるということでしょうか?
閉域網内のサーバーなので
aptが使えません。パッチ方法についてガイドをお願いしたいです
Ubuntu 22.04 バージョンで、以下のように進めてもパッチは適用されるのでしょうか?
最新の ssh は install されるようなのですが、バージョンも変わらず、パッチが適用されたのか確認する方法がわかりません。
sudo apt update
sudo apt-get install -y ssh
Ubuntu 22.04 であれば、以下のコマンドで確認した際に、version が
1:8.9p1-3ubuntu0.10であればパッチが適用されています。sudo dpkg -l openssh-server
おお、それなら
apt-get install -y sshを実行すればよさそうですね。1:8.9p1-3ubuntu0.10バージョンを確認しました。ありがとうございます〜(笑)
影響を受けるバージョンは「OpenSSH 8.5p1 ~ 9.8p1」で、対応方法は「最新バージョン(9.8p1以上)」とのことですが、
「9.8p1」が同じに見えるのに、これはどういうことなのでしょうか?
たとえば Debian は次のようにパッチを適用しています
https://security-tracker.debian.org/tracker/source-package/openssh
https://security-tracker.debian.org/tracker/CVE-2024-6387
通常、ディストリビューションベンダーではバージョンは9.8p1でも、セキュリティ脆弱性だけを修正したバージョンを用意しています。すると、パッケージ更新時にはそのバージョンに更新されます。
不幸中の幸いと言うべきか、少なくとも32bitマシンでは7〜8時間かかり、64bitマシンではまだどれほど時間がかかるのか確認されていないとのことです。
今すぐ修正済みバージョンをインストールするのが当然ベストですが、どうしても難しいなら、fail2banのようなものだけでも導入されていれば助けになるでしょう。