OpenSSH で新たに見つかった脆弱性「CVE-2024-6409」について(Ubuntuでは至急性はなさそうですが)

「Linux 初心者のための、コピペでできるサーバデプロイガイド - Ubuntu 24.04 LTS 編」の利用者のみなさん向けにこの記事を書いています。
https://forum.pc5bai.com/lesson/course/108/

気になってしまう方もいるかと思いますので...以下、共有します。

「OpenSSHに再び任意コード実行の脆弱性、確認とアップデートを」との記事です。
https://news.mynavi.jp/techplus/article/20240712-2983765/

ただし、影響を受ける Linux に Ubuntu は含まれていません。

以下、CVE-2024-6409 についての上記記事を三行で要約:

• 7月1日に公開されたセキュリティ脆弱性「regreSSHion」のレビュー中に発見された脆弱性
• 脆弱性の深刻度はregreSSHionと同じ重要(Important)に分類されているが、regreSSHionよりもやや低く評価されている
• この脆弱性は一部のLinuxディストリビューションのOpenSSHに存在する(Ubuntu系は含まれてなさそう)

この脆弱性の影響を受けるLinuxディストリビューションおよびOpenSSHのバージョンは次のとおり。

• Red Hat Enterprise Linux 9のOpenSSH 8.7/8.7p1
• Fedora 35から37までのOpenSSH 8.7/8.7p1および8.8/8.8p1
• AlmaLinux OS 9のOpenSSH 8.7/8.7p1
• Rocky Linux 9のOpenSSH 8.7/8.7p1

とのこと。

念のため、ウチの環境のひとつ(Ubuntu22.04LTS)で以下試してみました。
確かに、 openssh にかかる更新はなさそうです。

Authenticating with public key "rsa-key-20190913"  
Welcome to Ubuntu 22.04.4 LTS (GNU/Linux 5.15.0-113-generic x86_64)  

 * Documentation:  https://help.ubuntu.com  
 * Management:     https://landscape.canonical.com  
 * Support:        https://ubuntu.com/pro  

 System information as of Sun Jul 14 08:32:44 JST 2024  

  System load:  0.13               Processes:             101  
  Usage of /:   34.5% of 48.27GB   Users logged in:       0  
  Memory usage: 78%                IPv4 address for eth0: xxx.xxx.xxx.xxx
  Swap usage:   7%                 IPv4 address for eth0: xxx.xxx.xxx.xxx  

Expanded Security Maintenance for Applications is not enabled.  

5 updates can be applied immediately.  
To see these additional updates run: apt list --upgradable  

11 additional security updates can be applied with ESM Apps.  
Learn more about enabling ESM Apps service at https://ubuntu.com/esm  


Last login: Sat Jul 13 22:15:34 2024 from 153.226.173.86  
myuser@my-instance:$ sudo apt update  
Hit:1 http://mirrors.digitalocean.com/ubuntu jammy InRelease  
Hit:2 http://mirrors.digitalocean.com/ubuntu jammy-updates InRelease  
Hit:3 http://mirrors.digitalocean.com/ubuntu jammy-backports InRelease  
Hit:4 https://repos-droplet.digitalocean.com/apt/droplet-agent main InRelease  
Get:5 http://security.ubuntu.com/ubuntu jammy-security InRelease [129 kB]  
Fetched 129 kB in 4s (31.0 kB/s)  
Reading package lists... Done  
Building dependency tree... Done  
Reading state information... Done  
7 packages can be upgraded. Run 'apt list --upgradable' to see them.  
myuser@my-instance:$ sudo apt list --upgradable  
Listing... Done  
libldap-2.5-0/jammy-updates 2.5.18+dfsg-0ubuntu0.22.04.1 amd64 [upgradable from: 2.5.17+dfsg-0ubuntu0.22.04.1]  
libldap-common/jammy-updates 2.5.18+dfsg-0ubuntu0.22.04.1 all [upgradable from: 2.5.17+dfsg-0ubuntu0.22.04.1]  
python3-update-manager/jammy-updates 1:22.04.20 all [upgradable from: 1:22.04.19]  
ubuntu-minimal/jammy-updates 1.481.2 amd64 [upgradable from: 1.481.1]  
ubuntu-server/jammy-updates 1.481.2 amd64 [upgradable from: 1.481.1]  
ubuntu-standard/jammy-updates 1.481.2 amd64 [upgradable from: 1.481.1]  
update-manager-core/jammy-updates 1:22.04.20 all [upgradable from: 1:22.04.19]  

とはいえ、この機会に、練習もかねて、みなさんもご自身の運用しているサーバに入って、状況確かめてみてください。
以下のコマンドです。

sudo apt update  
sudo apt list --upgradable  

あと、 以下の2つの動画の内容に基づいたファイアウォール設定はしておいてください。
動画のとおりに作業して、10分もあれば設定完了できる簡単なものです。
安心感が桁違いです。

外部からのSSH接続を制限する
https://forum.pc5bai.com/lesson/page/2305/

クラウドのファイヤウォールでSSH接続を制限する
https://forum.pc5bai.com/lesson/page/2306/

質問・相談、もちろんいつでも受けつけます。
お気軽にどうぞ (^^