Vào ngày 1 tháng 7 năm 2024, một lỗ hổng nghiêm trọng đã được công bố trong máy chủ OpenSSH (sshd) trên các hệ thống Linux dựa trên glibc. Lỗ hổng này có thể cho phép thực thi mã từ xa (RCE) không cần xác thực với quyền root. Mức độ nghiêm trọng của lỗ hổng này (CVE-2024-6387) được đánh giá là cao (CVSS 8.1).
Các phiên bản bị ảnh hưởng:
- OpenSSH 8.5p1 ~ 9.8p1
- Các phiên bản trước 4.4p1 (tuy nhiên chỉ khi không áp dụng bản vá backport cho CVE-2006-5051 hoặc CVE-2008-4109)
Tình hình hiện tại:
Tính đến ngày 1 tháng 7 năm 2024, khoảng 7 triệu instance OpenSSH phiên bản 8.5p1-9.7p1 đang bị lộ ra trên toàn cầu, và tổng cộng có 7,3 triệu phiên bản dễ bị tấn công đang tồn tại.
Biện pháp ứng phó:
Khuyến nghị cập nhật tất cả các instance OpenSSH lên phiên bản mới nhất (9.8p1 trở lên).
Liên kết tham khảo 1. Liên kết biện pháp ứng phó cho GCP:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
Liên kết tham khảo 2. https://www.openssh.com/txt/release-9.8
11 bình luận
Có vẻ như Amazon Linux 2 không bị ảnh hưởng bởi lỗ hổng này. https://explore.alas.aws.amazon.com/CVE-2024-6387.html
Có vẻ trên Ubuntu chỉ cần nâng cấp lên các phiên bản được nêu ở đây là được.
https://ubuntu.com/security/notices/USN-6859-1
Có vẻ là 2 tệp: openssh_8.9p1-3ubuntu0.10.debian.tar.xz
openssh_8.9p1.orig.tar.gz
Có phải sẽ tiến hành theo cách cài đặt từ mã nguồn không?
Vì đây là máy chủ trong mạng kín nên tôi không thể dùng
apt.Mong được hướng dẫn cách vá lỗi.
Trên Ubuntu 22.04, nếu tiến hành như bên dưới thì có được vá lỗi không?
Có vẻ như cài được SSH mới nhất, nhưng phiên bản cũng không thay đổi nên tôi không rõ đã được vá hay chưa, và cũng không biết có cách nào để kiểm tra không.
sudo apt update
sudo apt-get install -y ssh
Nếu là Ubuntu 22.04, khi kiểm tra bằng lệnh bên dưới, nếu phiên bản là
1:8.9p1-3ubuntu0.10thì bản vá đã được áp dụng.sudo dpkg -l openssh-server
Ồ, vậy có vẻ chỉ cần chạy
apt-get install -y sshlà được nhỉ.Tôi đã kiểm tra phiên bản
1:8.9p1-3ubuntu0.10.Cảm ơn nhé~ hì
Phiên bản bị ảnh hưởng là
OpenSSH 8.5p1 ~ 9.8p1, còn phương án ứng phó là nếu dùng “phiên bản mới nhất (9.8p1 trở lên)” thì...9.8p1trông có vẻ giống nhau, vậy rốt cuộc là như thế nào?Ví dụ, Debian đang vá theo cách như sau
https://security-tracker.debian.org/tracker/source-package/openssh
https://security-tracker.debian.org/tracker/CVE-2024-6387
Thông thường, phía nhà cung cấp bản phân phối sẽ giữ phiên bản là 9.8p1 nhưng tạo sẵn một bản chỉ vá lỗ hổng bảo mật. Khi đó, lúc cập nhật gói, nó sẽ được nâng cấp lên phiên bản đó.
May mà trên máy 32-bit vẫn mất khoảng 7~8 tiếng, còn trên máy 64-bit thì hiện vẫn chưa xác định được sẽ mất bao lâu.
Tất nhiên tốt nhất là cài ngay phiên bản đã được vá, nhưng nếu quá khó thì ít nhất có cài thứ như fail2ban cũng sẽ giúp ích.