漏洞名称:
OpenSSH 远程代码执行漏洞(CVE-2024-6387)
组件名称:
OpenSSH
影响范围:
8.5p1 ≤ OpenSSH < 9.8p1
漏洞类型:
代码注入
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:困难,能造成远程代码执行。
<综合评定威胁等级>:高危,能造成远程代码执行。
官方解决方案:
已发布
漏洞分析
组件介绍
OpenSSH是使用SSH通过计算机网络加密通信的实现。它是取代由SSH Communications Security所提供商用版本的开放源代码方案。目前OpenSSH是OpenBSD的子项目。
漏洞简介
2024年7月2日,深瞳漏洞实验室监测到一则OpenSSH组件存在代码注入漏洞的信息,漏洞编号:CVE-2024-6387,漏洞威胁等级:高危。
在基于 glibc 的 Linux 系统中的 OpenSSH 服务器 (sshd) 中发现了远程未经身份验证的代码执行 (RCE) 漏洞,攻击者可以利用该漏洞执行任意代码,导致服务器失陷。
影响范围
目前受影响的OpenSSH版本:
8.5p1 ≤ OpenSSH < 9.8p1
解决方案
如何检测组件系统版本
通过命令ssh -V查看当前openssh版本。
官方修复建议
官方已发布最新版本修复该漏洞,请受影响客户将Openssh更新到安全版本:OpenSSH > 9.8p1。下载链接:
https://www.openssh.com/releasenotes.html
Debian解决方案:
https://security-tracker.debian.org/tracker/CVE-2024-6387
Ubuntu解决方案:
https://ubuntu.com/security/notices/USN-6859-1
Redhat解决方案:
https://access.redhat.com/security/cve/cve-2024-6387
深信服解决方案
1.风险资产发现
支持对OpenSSH的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】 已发布资产检测方案。
【深信服云镜YJ】 已发布资产检测方案。
2.漏洞主动检测
支持对OpenSSH 远程代码执行漏洞(CVE-2024-6387)的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
**【深信服云镜YJ】**预计2024年07月05日发布检测方案。
**【深信服漏洞评估工具TSS】**预计2024年07月04日发布检测方案。
**【深信服安全托管服务MSS】**预计2024年07月04日发布检测方案(需要具备TSS或CWPP组件能力)。
**【深信服主机安全检测响应平台CWPP】**预计2024年07月30日发布检测方案。
**【深信服安全检测与响应平台XDR】**预计2024年07月05日发布检测方案(需要具备云镜或CWPP组件能力)。
参考链接
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
时间轴
2024/7/2
深瞳漏洞实验室监测到OpenSSH 远程代码执行漏洞信息。
2024/7/2
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。