SSHは、サーバーとの通信を行う為のプロトコルで、通信が暗号化されるのでサーバー~クライアント間の通信を安全に行う事ができます。例えばサーバーにデータアップロードをする際は、FTP通信では無くSFTP(SSHを使ったファイル転送)を使用する事で、より安全にデータ送信する事が可能です。
このSSHは、Linux系サーバーの場合、その多くがOpenSSHというオープンソースのソフトウェアが初期状態でインスールされており、サーバーとの暗号化通信に使用されます。
2024年7月1日、OpenSSHの開発チームは重大かつ緊急性の高い脆弱性(CVE-2024-6387)が確認された事を発表し、脆弱性を修正したバージョンを公開しました。
この脆弱性は、次のお客様が対象です。
- 専用サーバー、VPSサーバー、クラウド型サーバご利用中のお客様
当社の共用サーバーサービス(通常・マネージドプラン)をご利用中の方は、対策済です。
共用サーバーなど、root権限の無いサーバーをご利用中の方は、ご利用中のサーバー会社の対応をお調べください。
発表された脆弱性の内容
脆弱性「CVE-2024-6387」の悪用により、以下の影響の可能性があります
リモートから任意のコードが実行される可能性
脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがあるそうです。
悪用された報告は現時点で公表されていませんが、glibcベースのLinuxにおいて攻撃が成功することが既に実証されています。
影響の受けるOpenSSH
OpenSSH 8.5p1から9.7p1
対応作業について
次のLinux ディストリビューションでは、既に修正版がリリースされております。速やかにアップデートを行う事をお勧めします。
※以下は当社取り扱いディストリビューションのみ。それ以外のディストリビューションも影響が発表されていますのでご注意。
- Rocky Linux 9
- AlmaLinux OS 9
- Red Hat Enterprise Linux 9
- Amazon Linux 2023
サーバ保守管理サービスをご利用のお客様またはサーバー初期設定サービス納品後 3か月未満のお客様
Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9、Amazon Linux 2023 ご利用のお客様
2024年7月5日時点で、アップデート済です。
Rocky Linux 8、AlmaLinux OS 8、Red Hat Enterprise Linux 8 ご利用のお客様
影響はありません。
※RHELで影響無と公表。Rocky Linux 8、AlmaLinux OS 8共にRHEL8と互換の為、同ディストリビューションも影響無と判断しています。
サーバー初期設定サービス納品後 3か月以上でサーバ保守管理サービスをご利用されていないお客様
Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9、Amazon Linux 2023 ご利用のお客様
ご自身でアップデート又は、当社に依頼(有償作業)してください。
Rocky Linux 8、AlmaLinux OS 8、Red Hat Enterprise Linux 8 ご利用のお客様
影響はありません。
※RHELで影響無と公表。Rocky Linux 8、AlmaLinux OS 8共にRHEL8と互換の為、同ディストリビューションも影響無と判断しています。
サーバーの管理を当社以外に依頼している場合
Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9、Amazon Linux 2023 ご利用のお客様
少なくともこちらのディストリビューションは影響がございますので、当該サーバー管理会社にご相談ください。
それ以外のディストリビューションをご利用の場合
RHEL8の場合、Rocky Linux 8、AlmaLinux OS 8はRHEL8互換の為、影響無と判断しますが、それ以外のディストリビューション(UbuntuやOracle Linux)は当該サーバー管理会社にご相談ください。