2024年7月4日木曜日

CVE-2024-6387

今月に入って公表されたCVE-2024-6387。
OpenSSHのサーバ側にあるCriticalな脆弱性ということで、
心配になって私の管理下にあるUbuntuサーバーを確認してみたのですが、
# sshd -V
とか打ってみると
OpenSSH_8.9p1 Ubuntu-3ubuntu0.10
とか出てきて、Ubuntu公式で確認した所によると、
これは既に対応版に入れ替わっているよう。なんで?

で、サーバ上の"/var/log/apt/history.log"を見ると
Start-Date: 2024-07-02  06:16:56
Commandline: /usr/bin/unattended-upgrade
Upgrade: openssh-client:amd64 (1:8.9p1-3ubuntu0.6, 1:8.9p1-3ubuntu0.10), openssh-server:amd64 (1:8.9p1-3ubuntu0.6, 1:8.9p1-3ubuntu0.10), openssh-sftp-server:amd64 (1:8.9p1-3ubuntu0.6, 1:8.9p1-3ubuntu0.10)
End-Date: 2024-07-02  06:17:04
などとなっており、自動でアップデートしてくれたみたいです。
クラウド系のVMはこの辺りきちんと設定されているんですね。

ちなみにリアルな手元のUbuntuマシンではそのままになっていて、
# apt list --upgradable | grep ssh
の結果からアップデート可能だったので、この際なので
# apt update
# apt upgrade
で丸っとアップデートしておきました。
外向きに公開していないマシンについては、
この脆弱性はそう影響はなさそうですが、まあ念の為。

0 件のコメント:

コメントを投稿