はじめに
本記事は2024年7月1日に発見されたOpenssh の脆弱性(CVE-2024-6387)の概要について記載しています。
背景
アメリカを拠点とする情報セキュリティやクラウドソリューションを手がけるQualys社のQualys Threat Research Unit (TRU)によって、glibc1ベースのLinuxシステムで認証なしでコードが実行できるRCEの脆弱性が発見されました。
Qualys社のブログから脆弱性の概要が確認できます。
興味深いのがCensysとShodanを使用した検索結果を踏まえて、インターネットに公開されている潜在的に脆弱なOpenSSHを使用しているサーバは、1,400万件以上の台数が特定されたのことです。
また、Qualys社がまとめた脆弱性の詳細については、Qualys Security Advisoryから確認できます。
影響
CVE Numbering Authority(CNA)であるRed Hat社によって、CVE-2024-6387が割り当てられています。
- OpenSSH versions earlier than 4.4p1 are vulnerable to this signal handler race condition unless they are patched for CVE-2006-5051 and CVE-2008-4109.
- Versions from 4.4p1 up to, but not including, 8.5p1 are not vulnerable due to a transformative patch for CVE-2006-5051, which made a previously unsafe function secure.
- The vulnerability resurfaces in versions from 8.5p1 up to, but not including, 9.8p1 due to the accidental removal of a critical component in a function.
OpenBSD systems are unaffected by this bug, as OpenBSD developed a secure mechanism in 2001 that prevents this vulnerability.
上記Qualys社のブログの情報を踏まえて、4.4p1より前のバージョン及び8.5p1から9.8p1までのバージョンが対象です。
原因
In our security analysis, we identified that this vulnerability is a regression of the previously patched vulnerability CVE-2006-5051, which was reported in 2006. A regression in this context means that a flaw, once fixed, has reappeared in a subsequent software release, typically due to changes or updates that inadvertently reintroduce the issue. This incident highlights the crucial role of thorough regression testing to prevent the reintroduction of known vulnerabilities into the environment. This regression was introduced in October 2020 (OpenSSH 8.5p1).
上記Qualys社のブログの情報を踏まえて、以前に修正された脆弱性CVE-2006-5051の回帰が原因と思われます。
対応
基本的には各ディストリビューションの公式情報をご確認ください。
現在把握できている各ディストリビューションの公式情報について、以下に記載します。
影響を受けるディストリビューション
| Distribution | Advisory |
|---|---|
| AlmaLinux | AlmaLinux OS 9 - CVE-2024-6387: regreSSHion |
| Amazon Linux AMI | ALAS-2024-649 |
| Arch Linux | ASA-202407-1 |
| Fedora 39 | openssh-9.3p1-11.fc39 |
| Fedora 40 | openssh-9.6p1-1.fc40.4 |
| FreeBSD | FreeBSD-SA-24:04.openssh |
| Gentoo | OpenSSH: Remote Code Execution — GLSA 202407-09 |
| NetBSD | NetBSD Security Advisory 2024-002 |
| openEuler | openEuler-SA-2024-1781 |
| QTS | Security ID : QSA-24-31 |
| Red Hat | CVE-2024-6387 |
| Rocky Linux | Rocky Linux 9 - CVE-2024-6387: regreSSHion |
| Slackware Linux | [slackware-security] openssh (SSA:2024-183-01) |
| SUSE | CVE-2024-6387 |
| Ubuntu | USN-6859-1: OpenSSH vulnerability |
影響を受けないディストリビューション
| Distribution | Advisory |
|---|---|
| Palo Alto | CVE-2024-6387 Informational Bulletin: Impact of OpenSSH regreSSHion Vulnerability |
おわりに
Qualys社は、この脆弱性に対してregreSSHionと名付けている様にテストの重要性を感じさせる脆弱性だと思いました。
参考
- OpenSSH 9.8
- OpenSSH Release Notes
- New OpenSSH Vulnerability Could Lead to RCE as Root on Linux Systems