พบช่องโหว่ความเสี่ยงสูงใน OpenSSH (CVE-2024-6387)

 (cve.org)
8 คะแนน โดย horid121 2024-07-03 | 11 ความคิดเห็น | แชร์ทาง WhatsApp

เมื่อวันที่ 1 กรกฎาคม 2024 ได้มีการเปิดเผยช่องโหว่ร้ายแรงในเซิร์ฟเวอร์ OpenSSH (sshd) บนระบบ Linux ที่ใช้ glibc ซึ่งอาจนำไปสู่การรันโค้ดจากระยะไกลโดยไม่ได้รับการยืนยันตัวตน (RCE) ด้วยสิทธิ์ root ได้ ช่องโหว่นี้ (CVE-2024-6387) ถูกประเมินว่ามีความรุนแรงสูง (CVSS 8.1)

เวอร์ชันที่ได้รับผลกระทบ:

  • OpenSSH 8.5p1 ~ 9.8p1
  • เวอร์ชันก่อน 4.4p1 (เฉพาะกรณีที่ไม่ได้ใช้แพตช์ backport สำหรับ CVE-2006-5051 หรือ CVE-2008-4109)

สถานการณ์ปัจจุบัน:
ณ วันที่ 1 กรกฎาคม 2024 มีอินสแตนซ์ของ OpenSSH เวอร์ชัน 8.5p1-9.7p1 ที่เปิดเผยอยู่ทั่วโลกราว 7 ล้านอินสแตนซ์ และมีเวอร์ชันที่มีช่องโหว่รวมทั้งหมด 7.3 ล้านอินสแตนซ์

แนวทางรับมือ:
แนะนำให้อัปเดต OpenSSH ทุกอินสแตนซ์เป็นเวอร์ชันล่าสุด (9.8p1 ขึ้นไป)

ลิงก์อ้างอิง 1. ลิงก์แนวทางรับมือสำหรับ GCP:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en

ลิงก์อ้างอิง 2. https://www.openssh.com/txt/release-9.8

บทความที่เกี่ยวข้อง

11 ความคิดเห็น

 
jjpark78 2024-07-04

ดูเหมือนว่า amazon linux 2 จะไม่ได้รับผลกระทบจากช่องโหว่นี้ https://explore.alas.aws.amazon.com/CVE-2024-6387.html
 
lemonmint 2024-07-03

สำหรับ Ubuntu น่าจะอัปเกรดเป็นเวอร์ชันตามที่ระบุไว้ที่นี่ได้เลย

https://ubuntu.com/security/notices/USN-6859-1
 
kwy007 2024-07-05

ดูเหมือนว่าจะมี 2 ไฟล์คือ
openssh_8.9p1-3ubuntu0.10.debian.tar.xz
openssh_8.9p1.orig.tar.gz
หมายความว่าต้องดำเนินการตามวิธีติดตั้งจากซอร์สโค้ดใช่ไหมครับ?
เนื่องจากเป็นเซิร์ฟเวอร์ในเครือข่ายปิด จึงไม่สามารถใช้ apt ได้
รบกวนขอคำแนะนำวิธีแพตช์ด้วยครับ
 
kwy007 2024-07-04

บน Ubuntu 22.04 ถ้าทำตามด้านล่างนี้จะถือว่าแพตช์แล้วหรือเปล่าครับ?
ดูเหมือนว่าจะติดตั้ง ssh เวอร์ชันล่าสุดได้ แต่เวอร์ชันก็ไม่เปลี่ยน แล้วก็ไม่รู้ว่าจะตรวจสอบได้อย่างไรว่าแพตช์แล้วหรือยัง

sudo apt update

sudo apt-get install -y ssh
 
tearof 2024-07-04

ถ้าเป็น Ubuntu 22.04 เมื่อตรวจสอบด้วยคำสั่งด้านล่าง หากเวอร์ชันเป็น 1:8.9p1-3ubuntu0.10 แสดงว่าได้ติดตั้งแพตช์แล้ว

sudo dpkg -l openssh-server
 
kwy007 2024-07-04

อ้อ ถ้างั้นก็คงหมายความว่าแค่รัน apt-get install -y ssh ก็ได้สินะ

ยืนยันแล้วว่าเป็นเวอร์ชัน 1:8.9p1-3ubuntu0.10

ขอบคุณครับ~ ฮิ
 
halfenif 2024-07-03

เวอร์ชันที่ได้รับผลกระทบคือ "OpenSSH 8.5p1 ~ 9.8p1" และหากแนวทางรับมือคือ "เวอร์ชันล่าสุด (9.8p1 ขึ้นไป)" ..

"9.8p1" ดูเหมือนจะเป็นตัวเดียวกัน แล้วแบบนี้ต้องตีความอย่างไรครับ?
 
koxel 2024-07-03

ตัวอย่างเช่น Debian กำลังแพตช์ดังนี้
https://security-tracker.debian.org/tracker/source-package/openssh
 
koxel 2024-07-03

โดยปกติแล้วผู้ดูแลดิสทริบิวชันจะใช้เวอร์ชัน 9.8p1 แต่จะจัดทำเวอร์ชันที่แพตช์เฉพาะช่องโหว่ด้านความปลอดภัยไว้ด้วย ดังนั้นเมื่ออัปเดตแพ็กเกจ ก็จะถูกอัปเดตเป็นเวอร์ชันนั้น
 
meinside 2024-07-03

นับว่าโชคดีอยู่บ้างที่บนเครื่อง 32 บิตยังต้องใช้เวลา 7~8 ชั่วโมง และบนเครื่อง 64 บิตก็ยังไม่ยืนยันว่าต้องใช้เวลานานแค่ไหน

แน่นอนว่าการติดตั้งเวอร์ชันที่แก้ไขแล้วทันทีเป็นทางเลือกที่ดีที่สุด แต่ถ้าทำได้ยากจริง ๆ อย่างน้อยถ้ามีการติดตั้งอะไรอย่าง fail2ban ไว้ก็น่าจะช่วยได้ครับ