製品アップデート

2024年7月1日に openssh の脆弱性(CVE-2024-6387 "regreSSHion")が公開されました

脆弱性の対象

openssh-server のバージョン 4.6p1 以前（CVE-2008-4109)、または 8.5p1 から 9.7p1 が対象となります。

また、この脆弱性は glibcベースの環境において攻撃が成功することが実証されています。muslベースの場合は該当しませんので、Armadillo Base OS は対象外となります。

追記: 関連の CVE-2024-6409 (2024年7月9日公開) は Debian も Armadillo Base OS も対象外となります。

確認方法

debian bookworm で以下のコマンドで確認できます。

root@armadillo:~# dpkg -l openssh-server
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version           Architecture Description
+++-==============-=================-============-=================================================================
ii  openssh-server 1:9.2p1-2+deb12u3 armhf        secure shell (SSH) server, for secure access from remote machines

出力が「 un openssh-server <none> <none> (no description available) 」の場合は openssh-server がインストールされていない為、対応不要です。
出力されたバージョンが「 1:9.2p1-2+deb12u2 」の場合には更新が必要です。

修正方法

debian bookworm で openssh-server を使用する場合はパッケージをアップデートしてください。

root@armadillo:~# apt update
root@armadillo:~# apt install openssh-server

アップデートできない場合は /etc/ssh/sshd_config に「LoginGraceTime 0」を追加して sshd を再起動すると、この問題は発生しなくなります。しかし、この設定は一般に推奨されておらず、サービス拒否（DoS）の影響を受ける恐れがある為、パッケージのアップデートを推奨します。

参考情報

以下のリンクを参考にしました。

• https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
• https://bugzilla.redhat.com/show_bug.cgi?id=2294604
• https://access.redhat.com/security/cve/CVE-2024-6387
• https://security-tracker.debian.org/tracker/CVE-2024-6387
• https://www.openwall.com/lists/oss-security/2024/07/01/12
• https://dustri.org/b/notes-on-regresshion-on-musl.html