【regreSSHion】Ubuntu22.04 OpenSSHの脆弱性CVE-2024-6387対応の備忘録

Qualysブログより

概要

セキュリティベンダーの米Qualysは7月1日、SSHソフトウェア「OpenSSH」に「regreSSHion」（CVE-2024-6387）という重大な脆弱性を発見したと発表しました。
この脆弱性はルート権限で認証なしに任意のコードをリモートで実行可能です。

早急な対応が必要な脆弱性です。パブリックにIPを開放しているサーバはもちろんのこと、
そうでないサーバでも踏み台経由などで悪用される可能性があるので迅速な対応が望ましいです。CVSS v3 スコア 8.1
詳細はこちら

対象のバージョン

OpenSSH_8.5p1 からOpenSSH_9.7p1のバージョンまでが本件脆弱性の対象。

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

主な対象OS

• Ubuntu

  • 案内ページ:https://ubuntu.com/security/CVE-2024-6387
  • 修正パッチ:https://launchpad.net/ubuntu/+source/openssh/1:8.9p1-3ubuntu0.10

• Amazon Linux 2023

  • 案内ページ:https://explore.alas.aws.amazon.com/CVE-2024-6387.html
  • 修正パッチ:https://alas.aws.amazon.com/AL2023/ALAS-2024-649.html

• Red Hat Enterprise Linux 9

  • 案内ページ:https://access.redhat.com/security/cve/cve-2024-6387
  • 修正パッチ:https://access.redhat.com/errata/RHSA-2024:4312
    （2024/07/04 10:50 RHEL9対応されたので、追記しました。）

• Debian

  • 案内ページ:https://security-tracker.debian.org/tracker/CVE-2024-6387

対応備忘録

Ubuntu22.04 で修正パッチが配布されましたので適用しました。その際の備忘録です。

# バージョン確認
hoge@hoge:~$ ssh -V
OpenSSH_8.9p1 Ubuntu-3ubuntu0.6, OpenSSL 3.0.2 15 Mar 2022

hoge@hoge:~$ sudo su - root

# パッケージリスト更新
root@hoge:~# apt update

# openssh-serverのみ更新
root@hoge:~# apt install --only-upgrade openssh-server

# バージョン確認
root@hoge:~# ssh -V
OpenSSH_8.9p1 Ubuntu-3ubuntu0.10, OpenSSL 3.0.2 15 Mar 2022

# 念の為sshdを再起動
root@hoge:~# systemctl restart sshd
root@hoge:~# systemctl status sshd
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: e>
     Active: active (running) since Wed 2024-07-03 15:30:25 JST; 9s ago
       Docs: man:sshd(8)
             man:sshd_config(5)

アップデート後もOpenSSH_8.9p1のままですが、対策された8.9p1-3ubuntu0.10にアップデートされました。

まとめ

昨今、サイバー攻撃が大変増えております。特にパブリックネットワークに接続されたサーバーはもちろん、内部ネットワークであっても可能な限り迅速に修正パッチを適用し、リスクを低減することが重要です。対象のバージョンをお使いの方はぜひ早急に対応を行い、サイバー攻撃に備えましょう！