SSHは、サーバーとの通信を行う為のプロトコルで、通信が暗号化されるのでサーバー~クライアント間の通信を安全に行う事ができます。例えばサーバーにデータアップロードをする際は、FTP通信では無くSFTP(SSHを使ったファイル転送)を使用する事で、より安全にデータ送信する事が可能です。
このSSHは、Linux系サーバーの場合、その多くがOpenSSHというオープンソースのソフトウェアが初期状態でインスールされており、サーバーとの暗号化通信に使用されます。
7月9日にこのOpenSSHの脆弱性についてお知らせ致しましたが、同日、このOpenSSHの脆弱性に対するレビュー中に新たにCVE-2024-6387とは異なる脆弱性を発見したと発表されました。尚、これを受け各ディストリビューションは直ちにパッチを公開しています。
この脆弱性は、次のお客様が対象です。
- 専用サーバー、VPSサーバー、クラウド型サーバご利用中のお客様
当社の共用サーバーサービス(通常・マネージドプラン)をご利用中の方は、対策済です。
共用サーバーなど、root権限の無いサーバーをご利用中の方は、ご利用中のサーバー会社の対応をお調べください。
発表された脆弱性の内容
脆弱性「CVE-2024-6409」の悪用により、以下の影響の可能性があります
リモートから任意のコードが実行される可能性
CVE-2024-6387同様に脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがあるそうです。
CVE-2024-6387との違い
CVE-2024-6387との違いは、親プロセスと比較すると権限の少ない状態で実行される子プロセス内に脆弱性が存在し、非特権ユーザーで競合によるリモートコード実行の可能性が存在する点です。その為、CVE-2024-6387より重要度は低く設定されていますが、どちらか一方の脆弱性が修正されると、もう一方の脆弱性が攻撃者に対してより魅力的になる可能性がある為、本脆弱性も直ちに対応する必要があります。
参考リンク
影響の受けるOpenSSH
Red Hat Enterprise Linux 9のOpenSSH 8.7/8.7p1
AlmaLinux OS 9のOpenSSH 8.7/8.7p1
Rocky Linux 9のOpenSSH 8.7/8.7p1
Fedora 35から37までのOpenSSH 8.7/8.7p1および8.8/8.8p1
※現時点で発表されている環境
対応作業について
次のLinux ディストリビューションでは、既に修正版がリリースされております。速やかにアップデートを行う事をお勧めします。
※以下は当社取り扱いディストリビューションのみ。それ以外のディストリビューションも影響が発表されていますのでご注意。
- Rocky Linux 9
- AlmaLinux OS 9
- Red Hat Enterprise Linux 9
サーバ保守管理サービスをご利用のお客様またはサーバー初期設定サービス納品後 3か月未満のお客様
Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9 ご利用のお客様
2024年7月13日時点で、アップデート済です。
Rocky Linux 8、AlmaLinux OS 8、Red Hat Enterprise Linux 8 ご利用のお客様
影響はありません。
※RHELで影響無と公表。Rocky Linux 8、AlmaLinux OS 8共にRHEL8と互換の為、同ディストリビューションも影響無と判断しています。
サーバー初期設定サービス納品後 3か月以上でサーバ保守管理サービスをご利用されていないお客様
Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9 ご利用のお客様
ご自身でアップデート又は、当社に依頼(有償作業)してください。
Rocky Linux 8、AlmaLinux OS 8、Red Hat Enterprise Linux 8 ご利用のお客様
影響はありません。
※RHELで影響無と公表。Rocky Linux 8、AlmaLinux OS 8共にRHEL8と互換の為、同ディストリビューションも影響無と判断しています。
サーバーの管理を当社以外に依頼している場合
Rocky Linux 9、AlmaLinux OS 9、Red Hat Enterprise Linux 9 ご利用のお客様
少なくともこちらのディストリビューションは影響がございますので、当該サーバー管理会社にご相談ください。
それ以外のディストリビューションをご利用の場合
RHEL8の場合、Rocky Linux 8、AlmaLinux OS 8はRHEL8互換の為、影響無と判断しますが、それ以外のディストリビューション(UbuntuやOracle Linux)は当該サーバー管理会社にご相談ください。