OpenSSH の脆弱性やべーなあ

もう遅いし明日openssh見るけど、古すぎて逆にセーフの可能性あるな

OpenSSHの件で1台だけアップデートに失敗すると思ったら，そのサーバのストレージが死んでました（データロスはないけど）

サークルのサーバのOpenSSH、バージョン上げるのだるそうで寝逃げ💤

OpenSSHのCVE-2024-6387は影響範囲が8.5p1-9.7p1で、CentOS7の7.4p1には影響しない様子。サポート切れた瞬間に地獄絵図にならないようでよかった。

opensshのローカルビルドが終わったところで、fixされた openssh の deb(Debian/bookworm) が流れてきた…うーむ（笑）

とりあえず上げた $ /usr/local/openssh/bin/ssh -V OpenSSH_9.8p1, LibreSSL 3.8.4

映画マトリックスで、2001年に発見された SSH の脆弱性が作中で使われている描写があって、「2199年の設定でも2001年の脆弱性残ってるのかよ！」とツッコミが入ってたの思い出した。 > 18年前に報告・修正されていた OpenSSH の脆弱性が数年前に再発していた。 #regreSSHion

OpenSSHほわ

OpenSSHのやつ。Ubuntuにトレードオフの緩和策書いてあるな。 ubuntu.com/security/CVE-2… ``` /etc/ssh/sshd_config で LoginGraceTime を 0 に設定します。これにより、sshd はサービス拒否攻撃 (すべての MaxStartups 接続の枯渇) に対して脆弱になりますが、この脆弱性からは保護されます。 ```

Debian12はこれでアップデート出てる。 [SECURITY] [DSA 5724-1] openssh security update lists.debian.org/debian-securit…

Y!リアルタイム検索 00時 更新 1 水季 2 openssh 3 のんべぇさんぽ 4 侘び寂び 5 海のはじまり 6 夢色乙女 7 名鉄観光 8 元カノの写真 9 シゲスペース 10 ジュブナイラー 11 入江里咲 12 リョウガさん 13 音楽の日2024 14 RIEHATAさん 15 Hypernova 16 残心残暑

OpenSSHのCVE-2024-6387対応考えないと qualys.com/regresshion-cv… cve.mitre.org/cgi-bin/cvenam… explore.alas.aws.amazon.com/CVE-2024-6387.…

An Unauthenticated Remote Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) on glibc-based Linux systems SSHの脆弱性が次から次へと出てくる qualys.com/regresshion-cv…

OpenSSHこわ

うぶんちゅにはOpenSSHのパッチが来てたので当てといた。あとうちの職場はよくわからないけどCentOS信者がいるのでCentOSも何とかしなきゃなんだけど今のところパッチ来てないわね。

返信先:@croward5050apt list -a フラグでリポジトリに過去バージョンがアレばフルネーム指定でインストールできますが...うちにはない $ sudo apt list openssh-server -a Listing... Done openssh-server/jammy-updates,jammy-security,now 1:8.9p1-3ubuntu0.10 arm64 [installed] openssh-server/jammy 1:8.9p1-3 arm64

OpenSSHの件はある程度わかったので満足

>RT OpenSSHの件(regreSSHion)、FreeBSDの SAの Workaroundの記述に苦笑している私。。。 もともとのQualysのレポートのFAQにもありますね。。 freebsd.org/security/advis… blog.qualys.com/vulnerabilitie… x.com/i/web/status/1…

OpenSSHの脆弱性やばすぎでしょこれ…

openSSHに（また）穴が見つかったそうですねー

regreSSHion対策としてOpenSSHのバージョンを上げても問題ないかregressionテストすることになるんかな / Qualys Security って QualysGuard のベンダーか / “regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog” htn.to/m3ZTpUeFH3

->RT 確かにopensshの更新きてる。 3時間前のRT見て確認したらもう来てる。 流石の速さ。 寄付しなければ無料のUbuntu、貧乏人な私には本当に助かります。(T人T)ﾅﾑﾅﾑ 宅内ネットでファイルサーバーとして繋いで使ってるから即更新。 LinuxやFreeBSDとかは、これ故に「さいつよ」なんですよね。 pic.twitter.com/rtqgHSSIV0

OpenSSHもうRustで書き直したほうがええやろ

コンソールサーバ代わりにしてるラズパイ2は、OpenSSH 8.4p1なので逆に大丈夫なやつだった

ubuntu.com/security/CVE-2… access.redhat.com/security/cve/C… OpenSSHの脆弱性 影響を受けるのはRHEL9 Ubuntuはjammy以上、 RHELのCVSSは攻撃のベクトルが「高」 緊急性はないかな。 OpenSSH 8.5p1 はより新しく、上記の Red Hat Enterprise Linux バージョンに同梱されています。 緩和策 LoginGraceTime ０

opensshのCVE、32bitだけだからスルーしようかと思ったけど64bitも影響ありそうだね。とりあえず自社サーバーは全部パッチあてたよ。 qualys.com/2024/07/01/cve…

debian11だからregreSSHion対象外だった。RHEL9のopensshは対象バージョンっぽいけどアップデート来てない

openssh-server更新した

konohaサーバのインスタンスはリポ更新したけどopenssh更新入ってないな... openssh-server/focal-updates,focal-security,now 1:8.2p1-4ubuntu0.11 amd64 [installed]

OpenSSH の RCE、来たらどうしようとは恐れていたけど本当に来ちゃったか… とりあえず Google の IAP 経由しか通さないように firewall を変更しましたん…（うちは RedHat 系なんや…

18年前に報告・修正されていたOpenSSHの脆弱性が実は3年前だか4年前だかにデグレって再発していたのが発覚して騒ぎになるの、人間味がある

これを見てOracle無料鯖のopensshのバージョンを9.7p1に上げたんだがこれで良いのか？

自分の管理内のOpenSSHたちは一通り確認完了。オンプレのサーバは全部統合管理してるからいいとしても、AWS Organizations内の色々動いているやつまでは正直知らねーって感じなので、ちゃんとしようと決めました...。

OpenSSHはいやぁな感じなので、我がサーバ類での対応を一応済ませた。。

opensshか

なんかタイムラインにOpenSSHの話題が突然現れたから何事かと思ったら、予想以上に大事だった x.com/ockeghem/statu…

こんな時間だけど、さすがにOpenSSHの脆弱性は心配だったので、ちょっとだけ調査した

opensshの脆弱性マジですか？ 勘弁してくれ

OpenSSHの問題よくわからん。怖いな