Zenn
🦔

【CVE-2024-6387対策】AlmaLinux 9.4でOpenSSHにpatchを当てて対応した

2024/07/02に公開
Linux
AlmaLinux
OpenSSH
tech

OpenSSHで深刻な脆弱性(regreSSHion)が見つかったみたいなので、
取り急ぎこのCVE-2024-6387に対応するための作業をしたので備忘録を。
https://piyolog.hatenadiary.jp/entry/2024/07/02/032122

影響を受けるバージョンか確認

対象バージョンについて

  • 8.5p1 <=
  • < 9.8p1

確認してみた

バッチリ対象です😇

$ ssh -V
# => OpenSSH_8.7p1, OpenSSL 3.0.7 1 Nov 2022

厳密に確認する場合は sshd のバージョンを確認しましょう🙆‍♂️
sshdを起動するときのパスはserviceファイル(/usr/lib/systemd/system/sshd.service)でも確認出来ます。

$ /usr/sbin/sshd -V

patchを当てる

AlmaLinux公式がこのCVE-2024-6387に対応するためのpatchを適用する手順を公開していたのでそれ通りに作業を行いことですぐに対応できました。
patchの公開と作業手順を迅速に対応・公開したAlmaLinuxに感謝です。

https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/

$ sudo dnf --refresh upgrade openssh
$ rpm -q openssh
# => openssh-8.7p1-38.el9.alma.2.x86_64

以下に適用前後のパッケージバージョンを記します。

適用前 適用後
openssh-8.7p1-38.el9.x86_64 openssh-8.7p1-38.el9.alma.2.x86_64

sourceからbuildして9.8p1へアップデートする場合

make時のoptionは各自必要なmoduleを指定して行ってください

$ sudo dnf groupinstall "Development Tools" -y
$ sudo dnf install openssl-devel zlib-devel -y
$ wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
$ tar -xzf openssh-9.8p1.tar.gz
$ cd openssh-9.8p1
$ ./configure
$ make
$ sudo make install
$ sudo systemctl restart sshd

Discussion