概要
2024/07/01、OpenSSH サーバー (sshd) に深刻な脆弱性が確認されたとして CVE-2024-6387 が公開された。この脆弱性では、クライアントが LoginGraceTime 秒以内に認証しない場合、sshd の SIGALRM ハンドラーが非同期的に呼び出されるため、リモートコードを実行される危険性があると説明している。
この脆弱性は CVE-2006-5051 のレグレッションと言われているらしい。また、Qualys によると 1400 万以上の潜在的に脆弱なサーバーインスタンスを特定したとしている。
対策
既に修正版がリリースされているので、できる限り早く更新する必要がある。
Ubuntu では、以下のコマンドを使用し (再起動する) ことで更新の確認ができた。
(apt 使うものなら大体これでいけるはず。)
# オプションを指定して sshd だけアップグレードしても良い
apt update && apt upgrade
詳細は各ディストリビューションページを参照してください。
Ubuntu
Debian
Red Hat Enterprise Linux
参考