👨‍💻

【CVE-2024-6409対策】OpenSSHで再びregreSSHionの脆弱性が発見されたので対応方法を確認した

2024/07/15に公開

先日、「CVE-2024-6387」の対応を行ったばかりですが、
CVE-2024-6409」で新たにregreSSHionの脆弱性が見つかったようなので対応方法を確認しました。

https://zenn.dev/huuya/articles/e50cbe00189746

CVE-2024-6409の対象になるバージョンについて

公式のフォーラムによると

  • 8.7p1以降

が対象のようでした。

ubuntuの公式ブログには

Potential issue appears to have only been present in
openssh 8.7p1 and 8.8p1, versions not present in currently supported
Ubuntu releases.

と記載されており、
厳密な対象バージョンは以下と分かりました。

  • 8.7p1
  • 8.8p1

OpenSSHのバージョン確認方法について

以下のコマンドで確認可能です。

$ ssh -V

AlmaLinux9.4での対応方法

前回と同じくpatchを当てるのみですが、
公式より適用方法が公開されているのでそれに従って作業を行うことで対応可能です。

https://almalinux.org/ja/blog/2024-07-09-cve-2024-6409/

$ sudo dnf --refresh upgrade openssh
$ rpm -q openssh
# => openssh-8.7p1-38.el9_4.4.x86_64

以下に適用前後のパッケージバージョンを記します。

CVE-2024-6387に対応するpatchをまだ適用していない場合

適用前 適用後
openssh-8.7p1-38.el9.x86_64 openssh-8.7p1-38.el9_4.4.x86_64

CVE-2024-6387に対応するpatchを適用済みの場合

適用前 適用後
openssh-8.7p1-38.el9.alma.2.x86_64 openssh-8.7p1-38.el9_4.4.x86_64

さいごに

AlmaLinuxの公式ブログより、
「セキュリティを第一に考えて、派生元のCentOS StreamやRHELのアップデートを待つことなく、
必要になるセキュリティパッチを可能な限り迅速に提供することを約束します。」
とあり、CentOS7の移行先としてAlmaLinuxを選んで良かったなぁと改めて思いました。

At AlmaLinux, we place security first and we are committed to delivering patches to our users as quickly as possible, especially when our community needs them. The decision to build the update and push the package to production without waiting for a CentOS Stream or RHEL update was made by our newly-formed technical steering committee, ALESCo.

今回の「CVE-2024-6409」も発見されてからpatchの公開まで迅速に対応され本当に感謝です。

Discussion