文档资讯

注于最实用的技术,低调靠谱,干货分享

一个被标识为CVE-2024-6387的严重漏洞影响了所有Enterprise Linux 9系统(包括Rocky Linux 9)上的OpenSSH服务器(sshd)。这个问题涉及一个信号处理器竞争条件,可能导致远程代码执行。

详情

当客户端在LoginGraceTime(默认为120秒)内未能认证时,会触发sshd的SIGALRM处理器,该处理器调用了非异步信号安全的函数,如syslog()。这个漏洞不影响Enterprise Linux 8附带的版本,因为问题代码是在后续上游版本中引入的。

风险潜力

虽然远程代码执行是可能的,但它需要一个复杂且耗时的竞争条件。大多数攻击更可能导致sshd服务崩溃。大量连接可能通过网络监控被检测到(一些系统内防爆破的防火墙软件)。

缓解措施

要解决这个问题,您可以选择从SIG/Security仓库更新到    openssh-8.7p1-38.el9_4.security.0.5,或配置您的ssh服务器以减少    LoginGraceTime参数。

使用SIG/Security OpenSSH包进行缓解

对于SIG/Security OpenSSH包,您可以按照以下说明操作。在使用此包之前,请务必阅读有关此包的信息,包括除此CVE修复外的其他更改。值得注意的是,SIG/Security openssh构建时没有Kerberos认证支持,因此应谨慎确保此包适合您的使用场景——如果不适合,请使用下面的配置缓解程序。

此外,SIG/Security的仓库包含覆盖基本发行版的其他包:glibc和microcode_ctl。虽然这些包的更改应该对系统透明且已经过测试,但在安装它们之前,您应该查看有关这些包及其具体更改的信息。

以下说明将禁用    security-common仓库,以便只使用sig-security中的    openssh

该发布包可以安装在其他Enterprise Linux发行版上。有关更多信息,请参阅 sig-security wiki。

  • 安装SIG/Security发布文件

    dnf install rocky-release-security
  • 禁用SIG/Security security-common仓库

    dnf config-manager --disable security-common
  • 升级openssh

    dnf --enablerepo=security-common update openssh\*
  • 确认已安装版本        openssh-8.7p1-38.el9_4.security.0.5 或以上版本

    rpm -q openssh

在安装openssh期间,服务将自动重启。

使用    LoginGraceTime配置进行缓解

如果由于任何原因无法使用SIG/Security覆盖包,您可以应用配置缓解措施。请注意,将    LoginGraceTime设置为    0可以缓解远程代码执行风险,但会使SSH服务更容易受到DoS攻击。

  • 以root身份打开        /etc/ssh/sshd_config

  • 添加或修改        LoginGraceTime参数:        
           LoginGraceTime 0

  • 保存并关闭文件。

  • 重启sshd服务:        
           systemctl restart sshd.service

参与其中

想要及时了解Rocky Linux安全漏洞、社区更新和Rocky SIGs的最新信息吗?可以加入Rocky Linux的chat.rockylinux.org和forums.rockylinux.org,或在您喜欢的RSS阅读器中订阅Rocky Linux的RSS源。


该文翻译摘录自:https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression

该文原作者于2024年7月1日发布,Rocky Linux 9以下版本不受该漏洞影响。