OpenSSH की उच्च-जोखिम वाली भेद्यता (CVE-2024-6387) खोजी गई

 (cve.org)
8 पॉइंट द्वारा horid121 2024-07-03 | 11 टिप्पणियां | WhatsApp पर शेयर करें

1 जुलाई 2024 को, glibc-आधारित Linux सिस्टम के OpenSSH सर्वर (sshd) में एक गंभीर भेद्यता सार्वजनिक की गई। इसके कारण बिना प्रमाणीकरण के रिमोट कोड एक्सीक्यूशन (RCE) root अधिकारों के साथ संभव हो सकता है। इस भेद्यता (CVE-2024-6387) की गंभीरता उच्च (CVSS 8.1) आंकी गई है.

प्रभावित वर्ज़न:

  • OpenSSH 8.5p1 ~ 9.8p1
  • 4.4p1 से पहले के वर्ज़न (हालांकि, केवल तब जब CVE-2006-5051 या CVE-2008-4109 के लिए backport patch लागू न किया गया हो)

वर्तमान स्थिति:
1 जुलाई 2024 के आधार पर, दुनिया भर में लगभग 70 लाख OpenSSH 8.5p1-9.7p1 वर्ज़न इंस्टेंस एक्सपोज़्ड हैं, और कुल 73 लाख कमजोर वर्ज़न मौजूद हैं।

उपाय:
सभी OpenSSH इंस्टेंस को नवीनतम वर्ज़न (9.8p1 या उससे ऊपर) में अपडेट करने की सिफारिश की जाती है।

संदर्भ लिंक 1. GCP के लिए उपाय लिंक:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en

संदर्भ लिंक 2. https://www.openssh.com/txt/release-9.8

संबंधित पढ़ाई

11 टिप्पणियां

 
jjpark78 2024-07-04

लगता है कि amazon linux 2 इस vulnerability से प्रभावित नहीं है।
https://explore.alas.aws.amazon.com/CVE-2024-6387.html
 
lemonmint 2024-07-03

लगता है Ubuntu में यहां दिए गए version तक update कर देने से काम हो जाएगा।

https://ubuntu.com/security/notices/USN-6859-1
 
kwy007 2024-07-05

openssh_8.9p1-3ubuntu0.10.debian.tar.xz
openssh_8.9p1.orig.tar.gz
लगता है ये 2 फाइलें हैं, तो क्या इसे source code install करने वाले तरीके से आगे बढ़ाना होगा?
सर्वर बंद नेटवर्क में है, इसलिए apt इस्तेमाल नहीं कर सकता।
कृपया patch करने का तरीका गाइड कर दें।
 
kwy007 2024-07-04

Ubuntu 22.04 वर्ज़न में नीचे दिए गए तरीके से करने पर क्या यह patch हो जाएगा?
लगता है latest ssh से install तो हो जाता है, लेकिन version भी नहीं बदलता और यह जाँच करने का कोई तरीका नहीं मिल रहा कि patch हुआ है या नहीं।

sudo apt update

sudo apt-get install -y ssh
 
tearof 2024-07-04

अगर आप Ubuntu 22.04 इस्तेमाल कर रहे हैं, तो नीचे दिए गए कमांड से जांच करने पर यदि version 1:8.9p1-3ubuntu0.10 है, तो इसका मतलब है कि patch लागू हो चुका है.

sudo dpkg -l openssh-server
 
kwy007 2024-07-04

ओह, तो लगता है apt-get install -y ssh चलाने से काम हो जाएगा।

मैंने "1:8.9p1-3ubuntu0.10" वर्ज़न कन्फर्म कर लिया है।

धन्यवाद~ haha
 
halfenif 2024-07-03

प्रभावित वर्शन OpenSSH 8.5p1 ~ 9.8p1 हैं, और समाधान नवीनतम वर्शन (9.8p1 या उससे ऊपर) बताया गया है..

9.8p1 तो एक जैसा दिख रहा है, यह कैसे समझना चाहिए?
 
koxel 2024-07-03

उदाहरण के लिए, Debian इस तरह patch कर रहा है
https://security-tracker.debian.org/tracker/source-package/openssh
 
koxel 2024-07-03

आमतौर पर distro vendor का version 9.8p1 होता है, लेकिन वे केवल security vulnerability को patch किया हुआ version अलग से बनाकर रखते हैं। फिर package update के समय वही version update हो जाता है।
 
meinside 2024-07-03

शुक्र है कि कम से कम 32bit मशीनों पर इसमें 7~8 घंटे लगते हैं, और 64bit मशीनों पर इसमें कितना समय लगता है यह अभी तक पता नहीं चल पाया है।

बेशक तुरंत fix किए गए version को install करना सबसे अच्छा होगा, लेकिन अगर यह सच में मुश्किल हो तो fail2ban जैसी कोई चीज़ install हो तो वह भी मददगार हो सकती है.