Armadilloフォーラム

opensshの脆弱性について

hondah

2024年7月4日 18時49分

いつもお世話になっております。

CVE-2024-6387について確認させて下さい。
https://armadillo.atmark-techno.com/news/20240701/openssh-CVE-2024-6387
こちらにはArmadillo Base OSは対象外とのことですがArmadillo400シリーズのOSは対象になるでしょうか。

当方、Armadillo410を使用しております。
[root@armadillo420-0 (ttyp0) ~]# uname -a
Linux armadillo420-0 2.6.26-at28 #1 PREEMPT Thu Jan 18 17:53:25 JST 2018 armv5tejl unknown
[root@armadillo420-0 (ttyp0) ~]# ssh -V
OpenSSH_4.3p2, OpenSSL 0.9.8g 19 Oct 2007

こちらのバージョンが本脆弱性の対象か確認したく。

コメント

> [root@armadillo420-0 (ttyp0) ~]# ssh -V
> OpenSSH_4.3p2, OpenSSL 0.9.8g 19 Oct 2007
>
> こちらのバージョンが本脆弱性の対象か確認したく。

対象となります。OpenSSH 4.3p2に
CVE-2008-4109の(CVE-2024-6387の要因となってしまう)対策パッチが
当たった状態なので該当です。

Armadillo-400シリーズは、2015年にLinux3.14にアップデートをしており
これにあわせてユーザーランド(atmark-dist)も更新した場合、
OpenSSH は6.0.1p1になるので、こちらであれば本脆弱性の
対象外になります。

早々のご回答ありがとうございます。
対応方法について社内で検討しようと思います。

> 早々のご回答ありがとうございます。
> 対応方法について社内で検討しようと思います。

ちなみに、sshdはインストールされていますが初期状態では自動起動
はしないので、起動させるポテンシャルが無いのであれば、気にしなくても
良いとは思います。
https://manual.atmark-techno.com/armadillo-4x0/armadillo-440_basic_star…