El 1 de julio de 2024 se divulgó una vulnerabilidad crítica en el servidor OpenSSH (sshd) de sistemas Linux basados en glibc. Esto podría permitir la ejecución remota de código (RCE) sin autenticación con privilegios de root. La gravedad de esta vulnerabilidad (CVE-2024-6387) fue evaluada como alta (CVSS 8.1).
Versiones afectadas:
- OpenSSH 8.5p1 ~ 9.8p1
- Versiones anteriores a 4.4p1 (siempre que no se hayan aplicado parches backport para CVE-2006-5051 o CVE-2008-4109)
Situación actual:
Al 1 de julio de 2024, hay aproximadamente 7 millones de instancias expuestas en todo el mundo con OpenSSH 8.5p1-9.7p1, y existen en total 7.3 millones de versiones vulnerables.
Medidas de respuesta:
Se recomienda actualizar todas las instancias de OpenSSH a la versión más reciente (9.8p1 o superior).
Enlace de referencia 1. Enlace de medidas de respuesta para GCP:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
Enlace de referencia 2. https://www.openssh.com/txt/release-9.8
11 comentarios
Parece que Amazon Linux 2 no está afectado por esa vulnerabilidad. https://explore.alas.aws.amazon.com/CVE-2024-6387.html
Parece que en Ubuntu bastará con actualizar a las versiones indicadas aquí.
https://ubuntu.com/security/notices/USN-6859-1
Parece que son dos archivos. ¿Se hace siguiendo el método de instalación desde el código fuente?
Es un servidor en una red aislada, así que no puedo usar
apt.Por favor, ¿podrían darme una guía sobre cómo aplicar el parche?
¿En Ubuntu 22.04 quedaría parcheado aunque se haga como se muestra abajo?
Parece que sí se instala el
sshmás reciente, pero la versión no cambia y no sé cómo verificar si realmente quedó parcheado.sudo apt update
sudo apt-get install -y ssh
Si usas Ubuntu 22.04, al verificar con el siguiente comando, si la versión es
1:8.9p1-3ubuntu0.10, significa que el parche ya fue aplicado.sudo dpkg -l openssh-server
Oh, entonces parece que solo hay que ejecutar
apt-get install -y ssh.Confirmé la versión
1:8.9p1-3ubuntu0.10.Gracias~ jaja
Las versiones afectadas son "OpenSSH 8.5p1 ~ 9.8p1" y la medida de respuesta sería "la versión más reciente (9.8p1 o superior)"...
Como "9.8p1" parece ser la misma, ¿cómo se entiende eso?
Por ejemplo, Debian está aplicando el parche de la siguiente manera
https://security-tracker.debian.org/tracker/source-package/openssh
https://security-tracker.debian.org/tracker/CVE-2024-6387
Normalmente, el proveedor de la distribución mantiene la versión como 9.8p1, pero crea una versión en la que solo parchea las vulnerabilidades de seguridad. Entonces, al actualizar el paquete, se actualiza a esa versión.
Por suerte, al menos se dice que en máquinas de 32 bits toma de 7 a 8 horas, y en máquinas de 64 bits todavía no se ha confirmado cuánto tiempo tarda.
Obviamente lo mejor es instalar de inmediato la versión corregida, pero si de verdad está difícil, también ayudaría tener algo como fail2ban instalado.