upstreamのリリースノート openssh.com/releasenotes.h… ちなみに発見したQualysでは「regreSSHion」と呼んでいます。誰がうまいこと言えと。。。。 blog.qualys.com/vulnerabilitie…

この手の脆弱性で「社内にあるから大丈夫」とか「外部から繋がらないから」はNG。 あっという間にマルウェアなどに機能として組込まれます。社内のPCがマルウェア感染したりVPNから入られた際にこの脆弱性を突かれてLinuxサーバーまでやられることになります。 素直にパッチあてましょう

Amazon Linux 2023のOpenSSHは2024/4/26リリースの8.7p1が最新版。 つまり、openssh-8.7p1-8.amzn2023.0.10 です。 OpenSSHのRelete Noteで"between 8.5p1 and 9.7p1 (inclusive)"と記載なので脆弱性の対象が高い。

FedoraとRHELの対応表 AmazonLinux2はベースOSがRHEL7(対象外) AmazonLinux2023はFedora34～36(対象) ※AWS公式から発表されてないので確定ではないです。 pic.twitter.com/YSkTjHR3aD

AmazonLinux2023は対象でした explore.alas.aws.amazon.com/CVE-2024-6387.…

これはパスワードログイン禁止しててもしぬやつ？

Fedora34～36は対象かなあ AmazonLinux2023のベースOSなんだけど