ポスト
SSHでログインできるサーバー運用している人たち、opensshに超危険なセキュリティアップデート出ていますので適用してください。 どのぐらい危険かというと「may allow arbitrary code execution with root privileges」(root権限でコードが実行可能)です。 tracker.debian.org/news/1541136/a…
メニューを開くみんなのコメント
upstreamのリリースノート openssh.com/releasenotes.h… ちなみに発見したQualysでは「regreSSHion」と呼んでいます。誰がうまいこと言えと。。。。 blog.qualys.com/vulnerabilitie…
この手の脆弱性で「社内にあるから大丈夫」とか「外部から繋がらないから」はNG。 あっという間にマルウェアなどに機能として組込まれます。社内のPCがマルウェア感染したりVPNから入られた際にこの脆弱性を突かれてLinuxサーバーまでやられることになります。 素直にパッチあてましょう
Amazon Linux 2023のOpenSSHは2024/4/26リリースの8.7p1が最新版。 つまり、openssh-8.7p1-8.amzn2023.0.10 です。 OpenSSHのRelete Noteで"between 8.5p1 and 9.7p1 (inclusive)"と記載なので脆弱性の対象が高い。
FedoraとRHELの対応表 AmazonLinux2はベースOSがRHEL7(対象外) AmazonLinux2023はFedora34~36(対象) ※AWS公式から発表されてないので確定ではないです。 pic.twitter.com/YSkTjHR3aD