OpenSSH のサーバー(sshd) がシグナルを処理する方法に深刻なレースコンディションの脆弱性が発見され、AlmaLinux 9 と CentOS 9 を実行しているシステムに影響を及ぼしています。リモート・ユーザーが接続を開始したが、一定のタイムアウト内に認証に失敗した場合、SIGALRM シグナルが非同期にトリガーされる。重要なのは、このシグナル・ハンドラがsyslog()などの関数を呼び出すことである。その結果、悪用に成功すると、非特権攻撃者によるリモートコード実行 (RCE) を許してしまう可能性があり、これはサーバーのセキュリティにとって重大な脅威となります。

この問題は、CentOS Linux 9 を含む、OpenSSH バージョン8.7p1-43.el9 を実行しているホストに影響します。CVE-2024-6409 として特定されているこの脆弱性は、OpenSSH ビルドの変更ログで言及されています。Nessusのようなセキュリティ・スキャナは、欠陥を直接検証するのではなく、検出されたソフトウェアのバージョンに基づいて報告する可能性があることに注意することが重要です。

何が危険か

OpenSSH は、安全なリモート管理のために Linux サーバで最もよく使われるサービスのひとつです。そのコアデーモン(sshd)に脆弱性があると、すべてのリモートアクセスと自動化システムが危険にさらされます。

影響を受けるシステムの例では、脆弱なパッケージ・バージョンがインストールされています:

[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64

推奨アクション

OpenSSH バージョン 8.7p1-43.el9 を使用している AlmaLinux 9、CentOS 9、またはその派生バージョンを実行している場合は、直ちに安全なバージョン –openssh-8.7p1-45.el9またはそれ以降 – にアップグレードしてください。

アップデートの手順

インストールされている OpenSSH のバージョンを調べるには

rpm -qa | grep openssh-server

アップデートを適用するには

sudo dnf update openssh

アップデート後、SSHサービスを再起動します:

sudo systemctl restart sshd

最後に、新しいバージョンを確認します:

rpm -qa | grep openssh-server

追加の緩和策LoginGraceTime の設定を見直す

補助的な手順として、SSH設定を手動で見直すことができる:

nano /etc/ssh/sshd_config

ファイルの中で、次の行を探してください:

#LoginGraceTime 0

このディレクティブは、SSHデーモンがユーザーの認証を待つ時間を制御します。この設定を調整することで、認証されていないクライアントの 接続ウィンドウを最小にすることができ、攻撃されにくくなります。

AvaHost が監視するサーバー

サーバーが AvaHost の監視下にある場合、影響を受けるシステムはすでに特定されています。たとえば、サーバー lshost4.alexhost.com は脆弱なバージョンを実行しているため、更新する必要があります。

結論

この脆弱性は、パッチが適用されていないシステムにとって、現実かつ現在の危険を意味します。私たちはすべての管理者に、OpenSSH のインストールを確認し、 遅滞なく更新することを強く勧めます。リモートでコードが実行される危険性は、 特に一般にアクセス可能なインフラストラクチャ上では、 過大評価することはできません。

詳細な技術情報については、公式の CVE エントリを参照してください:
🔗CVE-2024-6409 – NIST
Nessus レポート

安全な状態を維持する – システムのパッチ適用と監視を継続する。