Критическое состояние гонки в OpenSSH (CVE-2024-6409): Срочно исправление на системах AlmaLinux 9 и CentOS 9

Обнаружена серьезная уязвимость состояния гонки в обработке сигналов сервером OpenSSH (sshd), которая затрагивает системы под управлением AlmaLinux 9 и CentOS 9. Если удаленный пользователь инициирует соединение, но не проходит аутентификацию в течение определенного таймаута, асинхронно срабатывает сигнал SIGALRM. Критически важно, что обработчик сигнала вызывает такие функции, как syslog(), которые небезопасно использовать в данном контексте. В результате успешная эксплуатация может позволить удаленное выполнение кода (RCE) непривилегированным злоумышленником, что представляет значительную угрозу безопасности сервера.
Данная проблема затрагивает узлы, на которых работает OpenSSH версии 8.7p1-43.el9, включая те, которые используют CentOS Linux 9. Уязвимость, идентифицированная как CVE-2024-6409, упоминается в журнале изменений сборки OpenSSH. Важно отметить, что такие сканеры безопасности, как Nessus, могут не подтверждать наличие уязвимости напрямую, а сообщать о ней на основе обнаруженных версий ПО.
Что находится под угрозой
OpenSSH – одна из наиболее часто используемых служб на Linux-серверах для безопасного удаленного администрирования. Уязвимость в его основном демоне (sshd) подвергает риску все системы удаленного доступа и автоматизации.
Пример затронутой системы показывает установленную версию уязвимого пакета:
Рекомендуемые действия
Если вы работаете под управлением AlmaLinux 9, CentOS 9 или любой другой производной, использующей OpenSSH версии 8.7p1-43.el9, вам следует немедленно обновиться до безопасной версии – openssh-8.7p1-45.el9 или более новой.
Процедура обновления
Чтобы проверить версию установленного OpenSSH:
Применить обновление:
После обновления перезапустите службу SSH:
Наконец, подтвердите новую версию:
Дополнительный совет по устранению последствий: Просмотр настройки LoginGraceTime
В качестве дополнительного шага вы можете вручную просмотреть конфигурацию SSH, выполнив команду:
Внутри файла найдите строку:
Эта директива управляет тем, как долго демон SSH ожидает аутентификации пользователя. Настройка этого параметра может помочь уменьшить площадь атаки за счет минимизации окна разрешенных подключений для неаутентифицированных клиентов.
Серверы, контролируемые AvaHost
Если ваши серверы находятся под мониторингом AvaHost, мы уже выявили затронутые системы. Например, сервер lshost4.alexhost.com работает под управлением уязвимой версии и должен быть обновлен.
Заключение
Данная уязвимость представляет собой реальную и настоящую опасность для непропатченных систем. Мы настоятельно рекомендуем всем администраторам проверить и обновить свою установку OpenSSH без промедления. Риск удаленного выполнения кода невозможно переоценить, особенно в общедоступной инфраструктуре.
Для получения подробной технической информации обратитесь к официальной записи CVE:
🔗 CVE-2024-6409 – NIST
🔗 Отчет Nessus
Оставайтесь в безопасности – следите за своими системами и исправляйте их.