【重要】OpenSSHにリモートコード実行の致命的な脆弱性 CVE-2024-6387

CVSSv3.1スコア 8.1(重要)
アイキャッチ linux 脆弱

このページは、2024年07月09日に作成したページです。
このページに掲載している仕様・機能・操作手順は、現在リリースされているバージョンと異なる場合がございます。

このページに掲載している
OpenSSHのバージョン:
OpenSSHOpenSSH 8.5p1から9.7p1
このマニュアルは、次のサーバーや設定サービス、保守サービスをご利用のお客様が対象です
  • 専用・VPS・クラウド
    サーバ保守
  • 専用・VPS・クラウド
    サーバ保守
    メールサーバー付
  • 専用・VPS・クラウド
    サーバ初期設定
  • 専用・VPS・クラウド
    サーバ初期設定
    メールサーバー付

※ 当社がお勧めしているXサーバー(Xサーバービジネス含む)のマニュアルは、こちらをご覧ください。

SSHは、サーバーとの通信を行う為のプロトコルで、通信が暗号化されるのでサーバー~クライアント間の通信を安全に行う事ができます。例えばサーバーにデータアップロードをする際は、FTP通信では無くSFTP(SSHを使ったファイル転送)を使用する事で、より安全にデータ送信する事が可能です。

このSSHは、Linux系サーバーの場合、その多くがOpenSSHというオープンソースのソフトウェアが初期状態でインスールされており、サーバーとの暗号化通信に使用されます。

 

2024年7月1日、OpenSSHの開発チームは重大かつ緊急性の高い脆弱性(CVE-2024-6387)が確認された事を発表し、脆弱性を修正したバージョンを公開しました。

この脆弱性は、次のお客様が対象です。

 

  • 専用サーバー、VPSサーバー、クラウド型サーバご利用中のお客様

 

当社の共用サーバーサービス(通常・マネージドプラン)をご利用中の方は、対策済です。

共用サーバーなど、root権限の無いサーバーをご利用中の方は、ご利用中のサーバー会社の対応をお調べください。

 

発表された脆弱性の内容

脆弱性「CVE-2024-6387」の悪用により、以下の影響の可能性があります

リモートから任意のコードが実行される可能性

脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがあるそうです。

悪用された報告は現時点で公表されていませんが、glibcベースのLinuxにおいて攻撃が成功することが既に実証されています。

 

影響の受けるOpenSSH

OpenSSH 8.5p1から9.7p1

 

 

 

対応作業について

次のLinux ディストリビューションでは、既に修正版がリリースされております。速やかにアップデートを行う事をお勧めします。

※以下は当社取り扱いディストリビューションのみ。それ以外のディストリビューションも影響が発表されていますのでご注意。

 

  • Rocky Linux 9
  • AlmaLinux OS 9
  • Red Hat Enterprise Linux 9
  • Amazon Linux 2023

 

サーバ保守管理サービスをご利用のお客様またはサーバー初期設定サービス納品後 3か月未満のお客様

Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9、Amazon Linux 2023 ご利用のお客様

2024年7月5日時点で、アップデート済です。

 

 

Rocky Linux 8、AlmaLinux OS 8、Red Hat Enterprise Linux 8 ご利用のお客様

影響はありません。

RHELで影響無と公表。Rocky Linux 8、AlmaLinux OS 8共にRHEL8と互換の為、同ディストリビューションも影響無と判断しています。

 

 

サーバー初期設定サービス納品後 3か月以上でサーバ保守管理サービスをご利用されていないお客様

Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9、Amazon Linux 2023 ご利用のお客様

ご自身でアップデート又は、当社に依頼(有償作業)してください。

 

 

Rocky Linux 8、AlmaLinux OS 8、Red Hat Enterprise Linux 8 ご利用のお客様

影響はありません。

RHELで影響無と公表。Rocky Linux 8、AlmaLinux OS 8共にRHEL8と互換の為、同ディストリビューションも影響無と判断しています。

 

 

サーバーの管理を当社以外に依頼している場合

Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9、Amazon Linux 2023 ご利用のお客様

少なくともこちらのディストリビューションは影響がございますので、当該サーバー管理会社にご相談ください。

 

 

それ以外のディストリビューションをご利用の場合

RHEL8の場合、Rocky Linux 8、AlmaLinux OS 8はRHEL8互換の為、影響無と判断しますが、それ以外のディストリビューション(UbuntuやOracle Linux)は当該サーバー管理会社にご相談ください。

HTML Snippets Powered By : XYZScripts.com