Rocky Linux 9 - CVE-2024-6387：regreSSHion

更新 - 2024年7月3日 17:00 UTC

今天，发布了RHSA-2024:4312，解决了CVE-2024-6387。该更新已针对Rocky Linux 重新构建，并作为openssh-8.7p1-38.el9_4.1在dl.rockylinux.org上提供。它目前正在传播到镜像网络。

如果您安装了SIG/Security openssh软件包，它将在您下次执行dnf upgrade时升级到此新的BaseOS软件包。您可以使用rpm -q openssh确认已安装的openssh版本。

如果您已应用LoginGraceTime缓解措施，建议在升级到已修补的openssh后恢复此更改，并重新启动sshd。

原始公告如下

CVE-2024-6387：Rocky Linux 9中的OpenSSH漏洞

一个被识别为CVE-2024-6387的关键漏洞影响所有Enterprise Linux 9系统（包括Rocky Linux 9）上的OpenSSH服务器（sshd）。此问题涉及信号处理程序竞争条件，可能导致潜在的远程代码执行。

详细信息

客户端在LoginGraceTime（默认情况下为120秒）内无法进行身份验证会触发sshd的SIGALRM处理程序，该处理程序会调用非异步信号安全函数，例如syslog()。此漏洞不影响Enterprise Linux 8附带的版本，因为有问题的代码是在后续的上游版本中引入的。

风险可能性

虽然远程代码执行是可能的，但它需要复杂且耗时的竞争条件。大多数攻击更有可能导致sshd服务崩溃。通过网络监控可能会检测到大量连接。

缓解措施

要解决此问题，您可以更新到来自SIG/Security存储库的openssh-8.7p1-38.el9_4.security.0.5，或配置您的ssh服务器以减少LoginGraceTime参数。

使用SIG/Security OpenSSH软件包进行缓解

对于SIG/Security OpenSSH软件包，您可以按照以下说明操作。请务必阅读有关此软件包的信息，包括除了此CVE修复之外的其他更改，然后再使用此软件包。值得注意的是，SIG/Security openssh是在没有Kerberos身份验证支持的情况下构建的，因此应注意确保此软件包适合您的用例——如果不是，请使用以下配置缓解过程。

此外，SIG/Security的存储库包含覆盖基本发行版的其他软件包：glibc和microcode_ctl。虽然这些软件包的更改应该对系统透明并且已经过测试，但您应该查看有关这些软件包及其特定更改的信息，然后再安装它们。

以下说明将禁用security-common存储库，以便仅使用来自sig-security的openssh。

发行版软件包可以安装在其他Enterprise Linux发行版上。有关更多信息，请参阅sig-security wiki。

1. 安装SIG/Security发行版文件

dnf install rocky-release-security

2. 禁用SIG/Security security-common存储库

dnf config-manager --disable security-common

3. 升级openssh

dnf --enablerepo=security-common update openssh\*

4. 确认已安装版本openssh-8.7p1-38.el9_4.security.0.5

rpm -q openssh

在安装openssh期间，服务将自动重新启动。

使用LoginGraceTime配置进行缓解

如果您由于任何原因无法使用SIG/Security覆盖软件包，则可以应用配置缓解措施。请注意，将LoginGraceTime设置为0可以缓解远程代码执行风险，但会使SSH服务更容易受到DoS攻击。

1. 以root用户身份打开/etc/ssh/sshd_config。
2. 添加或修改LoginGraceTime参数

   LoginGraceTime 0
   

3. 保存并关闭文件。
4. 重新启动sshd服务

   systemctl restart sshd.service
   

参与进来

想要了解安全漏洞、社区更新以及Rocky SIG的最新信息？加入我们，访问chat.rockylinux.org和forums.rockylinux.org——或者在您喜欢的阅读器中订阅我们的RSS Feed。