hondah
2024年7月4日 18時49分
いつもお世話になっております。
CVE-2024-6387について確認させて下さい。
https://armadillo.atmark-techno.com/news/20240701/openssh-CVE-2024-6387
こちらにはArmadillo Base OSは対象外とのことですがArmadillo400シリーズのOSは対象になるでしょうか。
当方、Armadillo410を使用しております。
[root@armadillo420-0 (ttyp0) ~]# uname -a
Linux armadillo420-0 2.6.26-at28 #1 PREEMPT Thu Jan 18 17:53:25 JST 2018 armv5tejl unknown
[root@armadillo420-0 (ttyp0) ~]# ssh -V
OpenSSH_4.3p2, OpenSSL 0.9.8g 19 Oct 2007
こちらのバージョンが本脆弱性の対象か確認したく。
コメント
at_ohsawa
2024年7月12日 12時58分
> 早々のご回答ありがとうございます。
> 対応方法について社内で検討しようと思います。
ちなみに、sshdはインストールされていますが初期状態では自動起動
はしないので、起動させるポテンシャルが無いのであれば、気にしなくても
良いとは思います。
https://manual.atmark-techno.com/armadillo-4x0/armadillo-440_basic_star…
hondah
2024年7月12日 16時10分
補足ありがとうございます。
sshdは起動する必要があるため、対応が必要になります。
展開ユーザーが多いため、以下適用ユーザーランドをリモートで更新予定です。
https://armadillo.atmark-techno.com/forum/armadillo/1990
at_ohsawa
2024年7月4日 19時20分
> [root@armadillo420-0 (ttyp0) ~]# ssh -V
> OpenSSH_4.3p2, OpenSSL 0.9.8g 19 Oct 2007
>
> こちらのバージョンが本脆弱性の対象か確認したく。
対象となります。OpenSSH 4.3p2に
CVE-2008-4109の(CVE-2024-6387の要因となってしまう)対策パッチが
当たった状態なので該当です。
Armadillo-400シリーズは、2015年にLinux3.14にアップデートをしており
これにあわせてユーザーランド(atmark-dist)も更新した場合、
OpenSSH は6.0.1p1になるので、こちらであれば本脆弱性の
対象外になります。