Le 1er juillet 2024, une vulnérabilité critique a été rendue publique dans le serveur OpenSSH (sshd) des systèmes Linux basés sur glibc. Elle peut permettre une exécution de code à distance (RCE) non authentifiée avec les privilèges root. La sévérité de cette vulnérabilité (CVE-2024-6387) est évaluée comme élevée (CVSS 8.1).
Versions affectées :
- OpenSSH 8.5p1 ~ 9.8p1
- Versions antérieures à 4.4p1 (à condition que les correctifs rétroportés pour CVE-2006-5051 ou CVE-2008-4109 n’aient pas été appliqués)
Situation actuelle :
Au 1er juillet 2024, environ 7 millions d’instances OpenSSH versions 8.5p1-9.7p1 sont exposées dans le monde, et 7,3 millions de versions vulnérables existent au total.
Mesures recommandées :
Il est recommandé de mettre à jour toutes les instances OpenSSH vers la dernière version (9.8p1 ou ultérieure).
Lien de référence 1. Lien des mesures pour GCP :
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
Lien de référence 2. https://www.openssh.com/txt/release-9.8
11 commentaires
Il semble qu’Amazon Linux 2 ne soit pas concerné par cette vulnérabilité. https://explore.alas.aws.amazon.com/CVE-2024-6387.html
Pour Ubuntu, il semble qu’il suffise de passer à l’une des versions indiquées ici.
https://ubuntu.com/security/notices/USN-6859-1
Il semble qu’il y ait deux fichiers :
openssh_8.9p1-3ubuntu0.10.debian.tar.xzopenssh_8.9p1.orig.tar.gzEst-ce qu’il faut procéder avec une méthode d’installation à partir du code source ?
Comme c’est un serveur sur un réseau isolé, je ne peux pas utiliser
apt.Pourriez-vous me donner un guide pour appliquer le correctif ?
Sur Ubuntu 22.04, est-ce que le correctif s’applique même si on procède comme ci-dessous ?
Il semble que l’installation de la dernière version de
sshfonctionne, mais la version ne change pas, donc je ne sais pas comment vérifier si le correctif a bien été appliqué.sudo apt update
sudo apt-get install -y ssh
Si vous êtes sur Ubuntu 22.04, vous pouvez vérifier avec la commande ci-dessous que si la version est
1:8.9p1-3ubuntu0.10, alors le correctif a été appliqué.sudo dpkg -l openssh-serverOh, donc il suffit apparemment d’exécuter
apt-get install -y ssh.J’ai vérifié la version
1:8.9p1-3ubuntu0.10.Merci ~ hehe
Les versions concernées sont « OpenSSH 8.5p1 à 9.8p1 », et la mesure recommandée est d’utiliser « la dernière version (9.8p1 ou ultérieure) »…
Comme « 9.8p1 » semble identique dans les deux cas, comment faut-il l’interpréter ?
Par exemple, Debian applique le correctif comme suit
https://security-tracker.debian.org/tracker/source-package/openssh
https://security-tracker.debian.org/tracker/CVE-2024-6387
En général, les éditeurs de distributions proposent une version affichée comme 9.8p1, mais avec uniquement les correctifs de sécurité appliqués. Ainsi, lors de la mise à jour du paquet, il sera mis à jour vers cette version.
Heureusement, ou du moins si l’on peut dire, cela prendrait 7 à 8 heures sur une machine 32 bits, et sur une machine 64 bits on ne sait pas encore combien de temps cela prendrait.
Installer immédiatement une version corrigée est évidemment l’idéal, mais si c’est vraiment difficile, avoir au moins quelque chose comme fail2ban installé pourrait aussi aider.