こんにちは!営業製作所でプロダクトエンジニアをやっている西村( @nishim )です。
OpenSSHの脆弱性の話題で持ちきり(?)ですが、対応状況はいかがでしょうか?Red Hatの出したCVSSv3スコアも8.1と高いです。悪用は難しいという話もあるようですが、なるべく早く淡々と対応したいですね。
ちなみに自分のチームでは、Amazon Linux 2023の踏み台サーバーでOpenSSHが動いていました。しかし踏み台サーバーはプライベートサブネット内にあり、接続やポートフォワーディングはSSM経由で行っています。ssh用のポートも空いていません。
リスクは低いと判断、というかそもそも外に出られません。バージョンアップはせず、sudo systemctl stop sshd sudo systemctl disable sshdだけしておきました。
君はAmazon Linux Security Centerを知っているか
さて本題です。
皆さんはAmazon Linux Security Centerをご存知ですか?
Amazon Linux Security Centerは、Amazon Linuxのセキュリティ関連情報を提供するAWSオフィシャルなサイトです。
Amazon Linux 2023 / Amazon Linux 2 / Amazon Linux 1それぞれのOSのセキュリティアドバイザリーが確認できます。
例えば今回のOpenSSHの脆弱性 CVE-2024-6387 についても ALAS-2024-649 が割り当てられ、概要、影響を受けるパッケージ、対処方法を公開してくれています。dnf update openssh --releasever 2023.5.20240701を実行すれば良いと分かりますね。
確認するならRSSが便利
このように有用なAmazon Linux Security Centerですが、もちろんRSSフィードも公開してくれています!
- https://alas.aws.amazon.com/AL2023/alas.rss
- https://alas.aws.amazon.com/AL2/alas.rss
- https://alas.aws.amazon.com/alas.rss
個人的にinoreaderを愛用しており、Amazon Linux 2023のフィードを購読しています。今回のような時に役立つのはもちろん、なんとなく脆弱性情報を眺める楽しさも提供してくれます。
流量が多いわけでもないので、Amazon Linuxを積極利用している会社であればSlackに流すのもよいですね。RSSリーダーはプル型ですが、SlackでRSSを購読するならプッシュ型(通知してもらえる)なので、気づくタイミングも早められそうです。
RSSの購読方法はSlack公式のヘルプページが詳しいので設定はそちらにお任せします👇
まとめ
悲しいかな日々脆弱性は生まれ、我々は対応に迫られます。Amazon Linuxユーザーの方は脆弱性のスキャンツールとAmazon Linux Security Centerを併用しつつ、やられる前にやる、この覚悟で運用やっていきましょう。
エンジニア採用やってます
営業製作所株式会社ではエンジニアを絶賛募集中です!
日本が誇る製造業をもう一度輝かせるという志に賛同いただけるエンジニアの方がいらっしゃったら、ぜひご応募ください!
それ以外でも話を聞いてみたいという方がいらっしゃいましたら、カジュアル面談だけでも構いませんので、どうぞお気軽にお声がけください!
Discussion