OpenSSH 爆高危漏洞 CVE-2024-6387

2024-07-01 22:57:25 +08:00
 qwertooo
影响版本号 8.5p1 ~ 9.7p1......
https://www.reddit.com/r/msp/comments/1dsse9e/security_awareness_openssh_cve20246387_rce/

https://security-tracker.debian.org/tracker/CVE-2024-6387
https://ubuntu.com/security/CVE-2024-6387


今年下半年才刚开始
25820 次点击
所在节点    信息安全
131 条回复
CodeCodeStudy
2024-07-02 09:26:25 +08:00
centos 和 open euler 的才 7 点几
tool2dx
2024-07-02 09:31:15 +08:00
"SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2", from "debian-12.5.0-i386-DVD-1.iso": this is the current Debian stable
version

In our experiments, it takes ~10,000 tries on average to win this race condition, so ~3-4 hours with 100 connections (MaxStartups) accepted per 120 seconds (LoginGraceTime). Ultimately, it takes ~6-8 hours on average to obtain a remote root shell.

作者说,平均 7 小时破解一台远程 linux?
salmon5
2024-07-02 09:36:30 +08:00
AlmaLinux 9 已经有更新: https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/
openssh 8.7p1-38.el9.alma.2
openssh-clients 8.7p1-38.el9.alma.2
openssh-server 8.7p1-38.el9.alma.2
xyholic
2024-07-02 09:40:37 +08:00
有没 poc
salmon5
2024-07-02 09:43:04 +08:00
@salmon5 #43 这就是 AlmaLinux 的的优势(相对 CentOS 或 RockyLinux )。
x2ve
2024-07-02 09:48:48 +08:00
OpenSSH_7.9p1 Debian-10+deb10u2, OpenSSL 1.1.1n 15 Mar 2022 ;这个版本应该没事吧
sunnysab
2024-07-02 10:00:16 +08:00
archlinux 下,记得服务端重启 sshd ,不然客户端连不上。原因尚不清楚。

害得我差点就要重启服务器了。
barbery
2024-07-02 10:04:18 +08:00
额 又要更新 真是麻烦
lekai63
2024-07-02 10:09:50 +08:00
早上紧张了下。仔细一看,我两机器都是 debian11 ,还在 8.4p 呢
BeforeTooLate
2024-07-02 10:17:37 +08:00
哈哈我一个版本是:OpenSSH_7.2p1
另外一个是:OpenSSH_9.2p1
coldle
2024-07-02 10:19:29 +08:00
草了,nixos 源里还是 9.7 ,又得叠 overlay 了
lolizeppelin
2024-07-02 10:26:21 +08:00
https://forums.rockylinux.org/t/openssh-vulnerability-cve-2024-6387/14883

rockly 出补丁了,可以先用再等红帽修复
moenayuki
2024-07-02 11:25:57 +08:00
@coldle unstable 已经是 9.8p1 了
supuwoerc
2024-07-02 11:42:26 +08:00
运维同学忙起来了~
abolast
2024-07-02 12:02:31 +08:00
@supuwoerc 都是内网,有什么可忙的
Nosub
2024-07-02 12:03:36 +08:00
临时处理办法:

安全组设置 OpenSSH 端口仅对可信地址开放,或是把 OpenSSH 端口先禁用;
coldle
2024-07-02 12:09:52 +08:00
@moenayuki #53 早上看的就是 ubstable ,估计刚更的
powerman
2024-07-02 12:11:02 +08:00
@Jack927 修了看后面的 0.11
tool2dx
2024-07-02 12:21:22 +08:00
@Nosub 不用那么复杂,官方有提到,配置文件里把 LoginGraceTime 改成 0 就可以。
19c
2024-07-02 12:31:14 +08:00
@sunnysab 即便看到你这条消息我还是没连上,重启都没用......通过网页 console 连进去发现 sshd 启动失败了,重新写配置才恢复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054091

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX