Am 1. Juli 2024 wurde eine schwerwiegende Sicherheitslücke im OpenSSH-Server (sshd) auf glibc-basierten Linux-Systemen veröffentlicht. Dadurch kann eine nicht authentifizierte Remote Code Execution (RCE) mit Root-Rechten möglich sein. Die Schwachstelle (CVE-2024-6387) wird mit hoher Kritikalität (CVSS 8.1) bewertet.
Betroffene Versionen:
- OpenSSH 8.5p1 ~ 9.8p1
- Versionen vor 4.4p1 (sofern keine Backport-Patches für CVE-2006-5051 oder CVE-2008-4109 angewendet wurden)
Aktuelle Lage:
Stand 1. Juli 2024 sind weltweit etwa 7 Millionen Instanzen von OpenSSH 8.5p1-9.7p1 exponiert, insgesamt existieren 7,3 Millionen verwundbare Versionen.
Empfohlene Maßnahmen:
Es wird empfohlen, alle OpenSSH-Instanzen auf die neueste Version (9.8p1 oder höher) zu aktualisieren.
Referenzlink 1. Link zu Maßnahmen für GCP:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
Referenzlink 2. https://www.openssh.com/txt/release-9.8
11 Kommentare
Es heißt, dass Amazon Linux 2 von dieser Schwachstelle nicht betroffen ist.
https://explore.alas.aws.amazon.com/CVE-2024-6387.html
Bei Ubuntu scheint es auszureichen, auf die hier aufgeführten Versionen zu aktualisieren.
https://ubuntu.com/security/notices/USN-6859-1
openssh_8.9p1-3ubuntu0.10.debian.tar.xzopenssh_8.9p1.orig.tar.gzEs scheint, als wären es zwei Dateien – soll ich dann mit der Methode zur Installation aus dem Quellcode vorgehen?
Da es sich um einen Server in einem abgeschotteten Netzwerk handelt, kann ich
aptnicht verwenden.Könnten Sie mir bitte eine Anleitung zum Patchen geben?
Wird der Patch unter Ubuntu 22.04 eingespielt, wenn man wie unten vorgeht?
Die Installation der neuesten ssh-Version scheint zwar zu funktionieren, aber die Versionsnummer ändert sich nicht, und ich weiß nicht, wie ich prüfen kann, ob der Patch angewendet wurde.
sudo apt update
sudo apt-get install -y ssh
Bei Ubuntu 22.04 gilt: Wenn bei der Prüfung mit dem folgenden Befehl die Version
1:8.9p1-3ubuntu0.10angezeigt wird, ist der Patch angewendet.sudo dpkg -l openssh-serverOh, dann scheint es wohl zu reichen,
apt-get install -y sshauszuführen.Ich habe bestätigt, dass es sich um die Version
1:8.9p1-3ubuntu0.10handelt.Vielen Dank~ hehe
Die betroffenen Versionen sind „OpenSSH 8.5p1 ~ 9.8p1“, und als Gegenmaßnahme heißt es „neueste Version (9.8p1 oder höher)“ ...
„9.8p1“ sieht gleich aus – wie ist das zu verstehen?
Zum Beispiel patcht Debian auf folgende Weise
https://security-tracker.debian.org/tracker/source-package/openssh
https://security-tracker.debian.org/tracker/CVE-2024-6387
Normalerweise liegt die Version bei Distributionsanbietern bei 9.8p1, sie stellen jedoch eine Version bereit, in der nur die Sicherheitslücken gepatcht sind. Bei einem Paket-Update wird dann auf diese Version aktualisiert.
Zum Glück dauert es auf 32-Bit-Maschinen immerhin 7 bis 8 Stunden, und bei 64-Bit-Maschinen ist offenbar noch nicht geklärt, wie lange es tatsächlich dauert.
Natürlich ist es am besten, sofort eine gefixte Version zu installieren, aber wenn das wirklich schwierig ist, wäre immerhin auch etwas wie fail2ban hilfreich, falls es bereits eingerichtet ist.