Em 1º de julho de 2024, foi divulgada uma vulnerabilidade crítica no servidor OpenSSH (sshd) em sistemas Linux baseados em glibc. Isso pode permitir execução remota de código (RCE) sem autenticação com privilégios de root. A gravidade dessa vulnerabilidade (CVE-2024-6387) foi avaliada como alta (CVSS 8.1).
Versões afetadas:
- OpenSSH 8.5p1 ~ 9.8p1
- Versões anteriores à 4.4p1 (desde que não tenham sido aplicados patches retroportados para CVE-2006-5051 ou CVE-2008-4109)
Situação atual:
Em 1º de julho de 2024, cerca de 7 milhões de instâncias do OpenSSH 8.5p1-9.7p1 estavam expostas em todo o mundo, e existiam ao todo 7,3 milhões de versões vulneráveis.
Medidas recomendadas:
Recomenda-se atualizar todas as instâncias do OpenSSH para a versão mais recente (9.8p1 ou superior).
Links de referência 1. Link com medidas para o GCP:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
Link de referência 2. https://www.openssh.com/txt/release-9.8
11 comentários
Parece que o Amazon Linux 2 não é afetado por essa vulnerabilidade. https://explore.alas.aws.amazon.com/CVE-2024-6387.html
No Ubuntu, parece que basta atualizar para as versões indicadas aqui.
https://ubuntu.com/security/notices/USN-6859-1
Parece que são 2 arquivos. Nesse caso, o procedimento é seguir pela instalação a partir do código-fonte? Como é um servidor em rede isolada, não consigo usar
apt. Poderia me orientar sobre como aplicar o patch?No Ubuntu 22.04, se eu fizer como abaixo, a correção é aplicada?
Parece que instala a versão mais recente do ssh, mas a versão não muda e não sei como verificar se o patch foi aplicado.
sudo apt update
sudo apt-get install -y ssh
No Ubuntu 22.04, se ao verificar com o comando abaixo a versão for
1:8.9p1-3ubuntu0.10, isso significa que o patch foi aplicado.sudo dpkg -l openssh-server
Ah, então parece que é só executar
apt-get install -y ssh, né?Confirmei a versão
1:8.9p1-3ubuntu0.10.Obrigado~ haha
As versões afetadas são
OpenSSH 8.5p1 ~ 9.8p1e a medida de resposta seriaa versão mais recente (9.8p1 ou superior)..Como
9.8p1parece ser a mesma, como isso deve ser entendido?Por exemplo, o Debian está aplicando o patch da seguinte forma
https://security-tracker.debian.org/tracker/source-package/openssh
Vulnerabilidade crítica no OpenSSH (CVE-2024-6387) descoberta
https://security-tracker.debian.org/tracker/CVE-2024-6387
Normalmente, os fornecedores das distribuições mantêm a versão como 9.8p1, mas criam uma versão com apenas as correções de segurança aplicadas. Nesse caso, ao atualizar o pacote, ele será atualizado para essa versão.
Se é que dá para chamar isso de sorte, pelo menos dizem que em máquinas 32-bit leva de 7 a 8 horas, e em máquinas 64-bit ainda não foi confirmado quanto tempo leva.
Claro que o ideal é instalar imediatamente a versão com a correção, mas se isso for realmente difícil no momento, ter algo como o fail2ban instalado já deve ajudar.