米国のクラウドセキュリティのサービスを提供する企業であるQualysは、glibcベースのOpenSSH(sshd)にリモートで任意のコードが実行される脆弱性が存在していると発表しました。
CVE-2024-6387
この脆弱性は、glibcベースのLinuxシステムにおいて、認証していないリモートからroot権限で任意のコードが実行されるというものです。CVE-2024-6387として登録されておりCVSSは8.1(High)とされています。
CVE-2006-5051のリグレッション(一度修正した欠陥が改めて現れること)と見られており、8.5p1でこの修正が何らかの影響で無効化されたことにより発生したようです。8.5p1は2020年ごろにリリースされたバージョンであり、この前後にリリースされたディストリビューションでは影響をうけないものもあります。
OpenSSHのリリースノートによると、この脆弱性を用いた攻撃は、32bit Linux環境で実験に成功しており、平均で6~8時間の連続した接続と、サーバーが受け入れられる最大数までの接続が必要であるとしています。現時点で64bit Linuxでの攻撃は実証されていませんが、可能であると考えられています。
OpenSSH 4.4p1以前のバージョンはこのCVE-2006-5051及びCVE-2008-4109を修正するパッチを当てないと脆弱です。そして、4.4p1~8.4p1はCVE-2006-5051の修正が含まれているためこの脆弱性の影響は受けません。そして、8.5p1~9.7p1には今回確認されたCVE-2024-6387が含まれています。
なお、OpenBSDについては2001年の時点でこの脆弱性を防ぐ安全なメカニズムが導入された事によって、影響は受けないとしています。
Qualysは、この脆弱性を伝えるリリースの中でOpenSSHの設計が、この脆弱性を除いて完璧であるとの見解を述べています。セキュリティの実装において、多層構造の防御設計とコードがモデルであり模範的であると称賛しています。
修正
OpenSSHは、1日に9.8p1がリリースされ、各パッケージマネージャとミラーサーバから導入が可能になっています。
このバージョンには別の問題の修正が含まれています。さらに、DSA署名が2025年に無効になることがアナウンスされ、このバージョンからデフォルトの設定で無効になるように変更されています。
各ディストリビューションの状況
Debian
Debianについては、Bullseye(Debian 11)が影響を受けず、bookworm(Debian 12)については修正が施されていますが、開発中のtrixie(Debian 13)とsid(Debian 14)については脆弱性が存在しているとしています。
Ubuntu
Ubuntuではすでに修正されたOpenSSHがリリースされています。
RHEL
Red Hatは、RHEL 6,7,8で同梱されているOpenSSHのバージョンには影響しないものの、RHEL 9で同梱されるバージョンでは影響を受けるとしています。
Fedora
現時点で情報が公開されていないようです。
Gentoo
Gentoo Linuxでは現在修正に向けて動いており、まもなく修正ビルドがリリースされる見込みです。
Arch
Arch Linuxについても現時点で情報が公開されていないようです。