ニュース
「OpenSSH」にルート権限で認証なしに任意のコードが実行される致命的な脆弱性
リモートから悪用可能、「OpenSSH 9.8p1」への更新を
2024年7月2日 12:59
アメリカのセキュリティベンダーQualysは7月1日(現地時間)、「OpenSSH」サーバー(sshd)にシグナルハンドラーが競合状態に陥る脆弱性(CVE-2024-6387)が存在することを明らかにした。「glibc」ベースのLinuxシステムでリモートから悪用可能で、最悪の場合、ルート権限で認証なしに任意のコードが実行されてしまうおそれがある。
本脆弱性は、以前に対処された「CVE-2006-5051」のリグレッション(機能後退)と見られており、2020年10月に「OpenSSH 8.5p1」へ追加されたコードで混入したようだ。そのため、「regreSSHion」と呼称されている。同日付けでリリースされた「OpenSSH 9.8p1」で修正済みだ。
- 4.4p1(2006年9月)より前のバージョン:「CVE-2006-5051」および「CVE-2008-4109」に対処したパッチが適用されていれば問題はない
- 8.5p1(2021年3月)から9.8p1より前のバージョン:影響を受ける
- 9.8p1およびそれ以降のバージョン:修正済み
「OpenBSD」は2001年に本脆弱性を防ぐ安全なメカニズムを開発しており、影響を受けない。
「OpenSSH」開発チームによる深刻度の評価は「Critical」。ただし、この脆弱性を悪用するには平均して6時間から8時間程度の連続した接続が必要で、実際の悪用は困難だとみられている。
しかし、本脆弱性は万が一の場合の影響が甚大で、しかも今後の改良次第では攻撃が容易になる可能性がある。また、Windows/Macで悪用できないという保証もない。できるだけ早い対応が望ましい。
なお、「OpenSSH 9.8p1」では「ObscureKeystrokeTiming」オプションの実装におけるロジックエラーの脆弱性も修正されているとのこと。
また、本バージョンからはコンパイル時にDSA鍵が既定で無効化される(有効化するにはオプションを指定してビルドする必要がある)。「OpenSSH」は2015年以降、もはや時代遅れなDSA鍵を非推奨とし、互換性維持のためにオプションでサポートしてきた。しかし、2025年最初のリリースで完全に削除される予定だ。