一个被标识为CVE-2024-6387的严重漏洞影响了所有Enterprise Linux 9系统(包括Rocky Linux 9)上的OpenSSH服务器(sshd)。这个问题涉及一个信号处理器竞争条件,可能导致远程代码执行。
详情
当客户端在LoginGraceTime(默认为120秒)内未能认证时,会触发sshd的SIGALRM处理器,该处理器调用了非异步信号安全的函数,如syslog()。这个漏洞不影响Enterprise Linux 8附带的版本,因为问题代码是在后续上游版本中引入的。
风险潜力
虽然远程代码执行是可能的,但它需要一个复杂且耗时的竞争条件。大多数攻击更可能导致sshd服务崩溃。大量连接可能通过网络监控被检测到(一些系统内防爆破的防火墙软件)。
缓解措施
要解决这个问题,您可以选择从SIG/Security仓库更新到 openssh-8.7p1-38.el9_4.security.0.5,或配置您的ssh服务器以减少 LoginGraceTime参数。
使用SIG/Security OpenSSH包进行缓解
对于SIG/Security OpenSSH包,您可以按照以下说明操作。在使用此包之前,请务必阅读有关此包的信息,包括除此CVE修复外的其他更改。值得注意的是,SIG/Security openssh构建时没有Kerberos认证支持,因此应谨慎确保此包适合您的使用场景——如果不适合,请使用下面的配置缓解程序。
此外,SIG/Security的仓库包含覆盖基本发行版的其他包:glibc和microcode_ctl。虽然这些包的更改应该对系统透明且已经过测试,但在安装它们之前,您应该查看有关这些包及其具体更改的信息。
以下说明将禁用 security-common仓库,以便只使用sig-security中的 openssh。
该发布包可以安装在其他Enterprise Linux发行版上。有关更多信息,请参阅 sig-security wiki。
安装SIG/Security发布文件
dnf install rocky-release-security
禁用SIG/Security security-common仓库
dnf config-manager --disable security-common
升级openssh
dnf --enablerepo=security-common update openssh\*
确认已安装版本
openssh-8.7p1-38.el9_4.security.0.5或以上版本
rpm -q openssh
在安装openssh期间,服务将自动重启。
使用 LoginGraceTime配置进行缓解
如果由于任何原因无法使用SIG/Security覆盖包,您可以应用配置缓解措施。请注意,将 LoginGraceTime设置为 0可以缓解远程代码执行风险,但会使SSH服务更容易受到DoS攻击。
以root身份打开
/etc/ssh/sshd_config。添加或修改
LoginGraceTime参数:
LoginGraceTime 0保存并关闭文件。
重启sshd服务:
systemctl restart sshd.service
参与其中
想要及时了解Rocky Linux安全漏洞、社区更新和Rocky SIGs的最新信息吗?可以加入Rocky Linux的chat.rockylinux.org和forums.rockylinux.org,或在您喜欢的RSS阅读器中订阅Rocky Linux的RSS源。
该文翻译摘录自:https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression
该文原作者于2024年7月1日发布,Rocky Linux 9以下版本不受该漏洞影响。
