原创 厦门微思网络
2024年7月1日, 一个Openssh相关的CVE-2024-6387高危漏洞被公开:未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
PART 01
漏洞详情
-
影响组件
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。
-
漏洞描述
近日,OpenSSH 远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
目前该漏洞技术细节已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
PART 02
影响范围
-
影响版本
8.5p1 <= OpenSSH < 9.8p1
-
其他受影响组件
无
PART 03
处置建议
-
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本:
OpenSSH > 9.8p1
官方补丁下载地址:OPENSSH官方网站
-
缓解措施(来自红帽)
以下流程可以通过禁用LoginGraceTime参数来防止远程代码执行(Remote Code Execution, RCE)攻击。但是,sshd服务器仍然容易受到拒绝服务(Denial of Service, DoS)攻击,因为攻击者仍能消耗所有的连接资源。
1) 以root用户身份打开/etc/ssh/sshd_config文件。
2) 添加或编辑参数配置:
LoginGraceTime 0
这一行设置LoginGraceTime为0,意味着SSH服务器不会等待任何未完成的登录尝试,从而立即终止无效的连接尝试,防止RCE攻击利用这个时间窗口。
3) 保存并关闭文件。
4) 重启sshd守护进程:
systemctl restart sshd.service
通过上述步骤,可以减少由于LoginGraceTime导致的安全漏洞,但是值得注意的是,尽管这可以防止某些类型的攻击,如RCE,服务器仍然可能遭受DoS攻击,因为攻击者可以通过发起大量连接请求来耗尽服务器的连接资源。因此,除了调整LoginGraceTime之外,还应考虑实施其他安全策略,比如限制并发连接数、启用防火墙规则以及使用入侵检测系统(IDS)来进一步增强服务器的安全性。
linux定时任务怎么用?
Linux文件系统结构
END
微思网络,始于2002年
专业IT认证培训22年,面向全国招生!
微思-主要课程有:
*网络技术:华为HCIA/ HCIP/HCIE;思科CCNA/CCNP/CCIE
*Linux技术:红帽 RHCE/RHCA
*K8S&容器:CKA/CKS
*数据库:ORACLE OCP/ OCM ;MySQL ;达梦数据库
*虚拟化:VMware VCP/VCAP
*安全认证:CISP体系/CISSP/ CISA;CCSK;CISAW体系
*管理类:PMP 项目管理;软考中/高项;ITIL体系;Togaf
其他课程如:ACP;Azure...