文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ OpenSSH远程代码执行漏洞公告(CVE-2024-6387)
更新时间:2024-08-17 GMT+08:00

OpenSSH远程代码执行漏洞公告(CVE-2024-6387)

OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

权限提升

CVE-2024-6387

严重

2024-07-01

漏洞影响

该漏洞是由OpenSSH服务器 (sshd) 中的信号处理程序竞争问题引起。攻击者可以利用此漏洞,以未授权的形式在Linux系统上用root身份执行任意代码。

判断方法

  • 查看节点操作系统及openssh版本:
    • 如果集群node节点OS是EulerOS、Huawei Cloud EulerOS 1.1和CentOS,openssh版本不受该漏洞影响。
    • 如果集群node节点OS是Huawei Cloud EulerOS 2.0,可以用如下命令查看安装包版本:
      rpm -qa |grep openssh

      若openssh版本小于openssh-8.8p1-2.r34,且开放了SSH端口(默认为22),则受该漏洞影响。

    • 如果集群node节点OS是Ubuntu 22.04,可以用如下命令查看安装包版本:
      dpkg -l |grep openssh

      若openssh版本小于1:8.9p1-3ubuntu0.10,且开放了SSH端口(默认为22),则受该漏洞影响。

  • 查看SSH端口是否开放的命令如下:
    netstat -tlnp|grep -w 22

    若查询结果显示存在SSH端口正在监听,则表示该节点已开放了SSH访问。

漏洞消减方案

对于存量的集群节点,请按以下方法进行修复:

针对Ubuntu操作系统,建议您将openssh升级到官方发布的修复版本(1:8.9p1-3ubuntu0.10),详情请参见官方链接

针对Huawei Cloud EulerOS 2.0操作系统,建议您将openssh升级到官方发布的修复版本(openssh-8.8p1-2.r34),详情请参见官方公告

对于新建的集群节点,CCE将提供已修复该漏洞的节点镜像,请留意补丁版本发布记录关注修复进展。