大概5月底就已经有这个漏洞提交了,近期终于公布了。

是一位较为严重的高危漏洞,大概最快可以在6个小时以内绕过安全策略,直接获取服务器 root 用户权限。

具体漏洞 CVE 没看,大致是发现了一个远程代码执行(RCE)漏洞,利用sshd 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在 Linux 系统上以 root 身份执行任意代码。

看上去是 glibc 编译问题,反倒是OpenSSH 来源的 OpenBSD 没有受到任何影响。

有意思

移植程序真是个技术活

具体的升级策略如下1:

Ubuntu 24.04

Ubuntu 23.10

Ubuntu 22.04

我看了一下,我自己的服务器们上个月维护系统的时候倒是一起升级了是个好消息:

root:~# apt policy openssh-server
openssh-server:
  Installed: 1:8.9p1-3ubuntu0.10
  Candidate: 1:8.9p1-3ubuntu0.10
  Version table:

如果有同学需要处理一下问题的可以下面这样升级, 直接升级最新版本就好,目前主流的源已经在6月中旬或6月底都更新了:

apt-get update
apt-get install openssh-server

我后面重新看了一下属实没绷住 centos 6 7 8 的 SSH 版本正好都在列表外:

年度安全🏅️系统

隆重颁发给 centos 6

脚注

  1. https://ubuntu.com/security/notices/USN-6859-1

本文标题:OpenSSH 高危漏洞 CVE-2024-6387

永久链接:https://iceprosurface.com/code/cve-2024-6387/

查看源码: