「OpenSSH」にルート権限で認証なしに任意のコードが実行される致命的な脆弱性

「regreSSHion」脆弱性のロゴ

　アメリカのセキュリティベンダーQualysは7月1日（現地時間）、「OpenSSH」サーバー（sshd）にシグナルハンドラーが競合状態に陥る脆弱性（CVE-2024-6387）が存在することを明らかにした。「glibc」ベースのLinuxシステムでリモートから悪用可能で、最悪の場合、ルート権限で認証なしに任意のコードが実行されてしまうおそれがある。

　本脆弱性は、以前に対処された「CVE-2006-5051」のリグレッション（機能後退）と見られており、2020年10月に「OpenSSH 8.5p1」へ追加されたコードで混入したようだ。そのため、「regreSSHion」と呼称されている。同日付けでリリースされた「OpenSSH 9.8p1」で修正済みだ。

• 4.4p1（2006年9月）より前のバージョン：「CVE-2006-5051」および「CVE-2008-4109」に対処したパッチが適用されていれば問題はない
• 8.5p1（2021年3月）から9.8p1より前のバージョン：影響を受ける
• 9.8p1およびそれ以降のバージョン：修正済み

　「OpenBSD」は2001年に本脆弱性を防ぐ安全なメカニズムを開発しており、影響を受けない。

　「OpenSSH」開発チームによる深刻度の評価は「Critical」。ただし、この脆弱性を悪用するには平均して6時間から8時間程度の連続した接続が必要で、実際の悪用は困難だとみられている。

　しかし、本脆弱性は万が一の場合の影響が甚大で、しかも今後の改良次第では攻撃が容易になる可能性がある。また、Windows/Macで悪用できないという保証もない。できるだけ早い対応が望ましい。

　なお、「OpenSSH 9.8p1」では「ObscureKeystrokeTiming」オプションの実装におけるロジックエラーの脆弱性も修正されているとのこと。

　また、本バージョンからはコンパイル時にDSA鍵が既定で無効化される（有効化するにはオプションを指定してビルドする必要がある）。「OpenSSH」は2015年以降、もはや時代遅れなDSA鍵を非推奨とし、互換性維持のためにオプションでサポートしてきた。しかし、2025年最初のリリースで完全に削除される予定だ。