CVE-2024-6387 OpenSSH脆弱性
■CVE-ID
CVE-2024-6387
■影響が出るユーザ
・Ubuntu, Rocky Linux, AlmaLinux, CentOS Stream, Debian等Linuxを使用している。
・脆弱性の影響を受けるバージョンのOpenSSHを利用してい
・サーバをインターネットへ公開している。
・インターネットからSSHサービスへのアクセスを許可している
ただ、Redhatのページをみると、RedHat9系しか影響を受けない?
CVE-2024-6387- Red Hat Customer Portal
Red Hat Enterprise Linux 9 is the only version which is is affected. Red Hat Enterprise Linux 6, 7, and 8 all utilized an older version of OpenSSH which never incorporated the regression.
Red Hat Enterprise Linux 9 は、影響を受ける唯一のバージョンです。Red Hat Enterprise Linux 6、7、8 はすべて古いバージョンの OpenSSH を使用しており、リグレッションは組み込まれていませんでした。
■内容
本脆弱性により下記の影響を受ける可能性がある。
「遠隔の認証されていない攻撃者によって、root権限で任意の
詳細は下記のサイトをご確認ください。
https://jvn.jp/vu/JVNVU9725399
https://www.qualys.com/regress
■各OSベンダーが提供する対応方法
Ubuntu
https://ubuntu.com/security/CV
Rocky Linux
https://rockylinux.org/ja/news
- Confirm version
openssh-8.7p1-38.el9_4.security.0.5
is installed
AlmaLinux
https://almalinux.org/blog/202
Debian
https://security-tracker.debia
Rocky Linux確認例
- Confirm version
openssh-8.7p1-38.el9_4.security.0.5
is installed
rpm -qi openssh Name : openssh Version : 8.7p1 Release : 38.el9_4.1 Architecture: x86_64 Install Date: Thu Jul 4 10:28:21 2024 Group : Unspecified Size : 1992076 License : BSD Signature : RSA/SHA256, Thu Jul 4 00:13:26 2024, Key ID 702d426d350d275d Source RPM : openssh-8.7p1-38.el9_4.1.src.rpm Build Date : Thu Jul 4 00:02:21 2024 Build Host : pb-df260857-028f-4ad5-a47c-82f69ad79fb7-b-x86-64 Packager : Rocky Linux Build System (Peridot) <releng@rockylinux.org> Vendor : Rocky Enterprise Software Foundation URL : http://www.openssh.com/portable.html Summary : An open source implementation of SSH protocol version 2 Description : SSH (Secure SHell) is a program for logging into and executing commands on a remote machine. SSH is intended to replace rlogin and rsh, and to provide secure encrypted communications between two untrusted hosts over an insecure network. X11 connections and arbitrary TCP/IP ports can also be forwarded over the secure channel. OpenSSH is OpenBSD's version of the last free version of SSH, bringing it up to date in terms of security and features. This package includes the core files necessary for both the OpenSSH client and server. To make this package useful, you should also install openssh-clients, openssh-server, or both.