regreSSHion CVE-2024-6387 OpenSSH

OpenSSH Vulnerability: CVE-2024-6387 FAQs and Resour...

這幾天所有的 IT 部門要有得忙了...

我是被 google cloud 在一小時前的通知才知道的, 不過剛剛查了一下我有的兩台 VM, 跑 blog 的是 Debian 10 裡面是 OpenSSH 7.9p1, 跑個人網站的是 Ubuntu 20.04 裡面是 OpenSSH 8.2p1 暫時都還沒事 (受影響好像是 >=8.5p1, <9.8p1 的樣子)
不過今天進公司要查一下了...

中惹～
$ apt-cache show openssh-server
Package: openssh-server
Source: openssh
Version: 1:9.2p1-2+deb12u2

升好惹～
Do you want to continue? [Y/n] y
Get:1 http:// security.debian .org/debian-security bookworm-security/main arm64 openssh-server arm64 1:9.2p1-2+deb12u3 [414 kB]
Get:2 http:// security.debian .org/debian-security bookworm-security/main arm64 openssh-client arm64 1:9.2p1-2+deb12u3 [937 kB]
感謝大大通知(?

看了些相關資料，看到 OpenSSH 的回應頗有意思：

upstream: Add a facility to sshd(8) to penalise part...

大概是鑑於前陣子 xz 後門的攻擊方式是使用簽章參數夾帶指令方式，加上這次目前有的 PoC 攻擊方向是藉由登入失敗來對 sshd 進行計時攻擊以造成在不恰當的時間點被打斷的 race condition，OpenSSH 的回應是監控每個來源的簽章失敗紀錄，太過份的給予從延遲回應到禁止連線的懲罰 XD 這個設定現在預設是關的，但他們說未來希望能預設打開

GSLin 的簡單說明 regreSSHion：OpenSSH RCE
以及他上個月看到 OpenSSH 的那個更動時的文章 OpenSSH 要內建阻擋系統了
不過看他 quote 的那段才想到對齁，OpenSSH 這樣做的話在 NAT 後面的所有人會被連坐...

7/2 的其他報導

OpenSSH嚴重漏洞「regreSSHion」現身：恐使百萬伺服器面臨遠端操控威脅

OpenSSH含有可遠端攻陷伺服器的回歸漏洞

說起來我的公司裡是有一個獨立的資安部, 這應該會是他們在管的事; 我是有看了一下我碰得到的機器版本狀況但就等他們評估處理狀況好了 (昨天 (2 號) 一整天是沒收到什麼相關通知就是, 不過現在有中文新聞出來應該今天公司內部就會有消息了吧...?)

話說回來我這台 blog 機器當初是直接拿預設的 WP image 開的, 一開始的系統應該是 Debian 9, 看紀錄好像是去年把它升到了 Debian 10, 不過現在最新是 12 所以有點想考慮一口氣升上去...要不要這週末來升一下 (思

查了一下 Debian 10 的 LTS EOL 剛過, 那週末來升一波好了