文档 · 2024年7月3日 0

regreSSHion漏洞修复(CVE-2024-6387)

漏洞介绍:

  • Qualys 威胁研究部门 (TRU) 在基于 glibc 的 Linux 系统中的 OpenSSH 服务器 (sshd) 中发现了一个远程未经身份验证的代码执行 (RCE) 漏洞。分配给此漏洞的CVE为CVE-2024-6387。
  • 该漏洞是 OpenSSH 服务器 (sshd) 中的信号处理程序争用条件,允许在基于 glibc 的 Linux 系统上以 root 身份执行未经身份验证的远程代码执行 (RCE);这带来了重大的安全风险。此争用条件会影响 sshd 的默认配置。
  • 根据使用 Censys 和 Shodan 的搜索,我们已经确定了超过 1400 万个暴露在 Internet 上的潜在易受攻击的 OpenSSH 服务器实例。来自Qualys CSAM 3.0的匿名数据与外部攻击面管理数据显示,大约有700,000个面向外部互联网的实例容易受到攻击。这占我们全球客户群中所有使用 OpenSSH 的面向 Internet 的实例的 31%。有趣的是,超过 0.14% 的具有 OpenSSH 服务的面向互联网的易受攻击的实例运行着 OpenSSH 的生命周期终止/支持终止版本。

影响版本:

  • 早于 4.4p1 的 OpenSSH 版本容易受到此信号处理程序争用条件的影响,除非它们针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。
  • 从 4.4p1 到 8.5p1 的版本不容易受到攻击,因为 CVE-2006-5051 的转换性补丁使以前不安全的功能变得安全。
  • 该漏洞在从 8.5p1 到 9.8p1 的版本中重新出现,这是由于意外删除了函数中的关键组件所致。

OpenBSD 系统不受此漏洞的影响,因为 OpenBSD 在 2001 年开发了一种安全机制来防止此漏洞。

缓解措施:

以下过程可以通过禁用 LoginGraceTime 参数来防止远程代码执行攻击。但是,sshd 服务器仍然容易受到拒绝服务的攻击,这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。。

1) 以 root 用户身份打开 /etc/ssh/sshd_config
2) 添加或编辑参数配置:

LoginGraceTime 0

3) 保存并关闭文件
4) 重新启动 sshd 守护程序:

systemctl restart sshd.service

解决办法:

升级到最新版本9.8p1

附赠安装包:已打包为rpm包。其他版本系统参考官网进行升级操作。

Openssh9.8p1_for_centos

打赏