Lỗ hổng regreSSHion trong OpenSSH (CVE-2024-6387): Nâng cấp phiên bản OpenSSH để bảo vệ máy chủ

Lỗ hổng regreSSHion là gì?

Lỗ hổng regreSSHion trong OpenSSH có mã là CVE-2024-6387, là một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến máy chủ OpenSSH.

Dưới đây là một số điểm quan trọng về lỗi này:

1. Vulnerability (Lỗ hổng): Đây là một lỗ hổng Remote Unauthenticated Code Execution (RCE) trong máy chủ OpenSSH (sshd) trên các hệ thống Linux dựa trên glibc. Nó cho phép kẻ tấn công thực thi mã nguồn từ xa mà không cần xác thực, và nếu bị khai thác, có thể dẫn đến quyền truy cập root.
2. Phạm vi ảnh hưởng: Lỗ hổng này ảnh hưởng đến các phiên bản OpenSSH từ 8.5p1 đến 9.7p1.
3. Chi tiết kỹ thuật: Lỗ hổng này xuất phát từ một điều kiện race condition trong xử lý tín hiệu của OpenSSH. Nó là một sự regression của một lỗ hổng cũ hơn (CVE-2006-5051), đã được vá lại vào năm 2006. Kẻ tấn công có thể thực thi mã nguồn tùy ý với quyền root.
4. Khuyến nghị: Nếu bạn đang chạy máy chủ OpenSSH trên phiên bản bị ảnh hưởng, bạn nên cập nhật ngay lập tức.

Các hệ điều hành bị ảnh hưởng

1. Ubuntu phiên bản 22.04 (jammy) trở lên – Ubuntu Security Notice
2. Red Hat Enterprise Linux 9 – Red Hat Security Notice (Red Hat Enterprise Linux 6, 7, và 8 sử dụng phiên bản OpenSSH cũ không bị ảnh hưởng)
   1. AlmaLinux OS 9
   2. Rocky Linux 9
3. Debian 12 (bookworm) – Debian Security Notice
4. Fedora – Fedora packages
5. SUSE – SUSE Security Notice
6. AWS Linux – Amazon Linux Security Center

Cách cập nhật phiên bản OpenSSH

1. Hệ điều hành Ubuntu

• Kiểm tra phiên bản hiện tại OpenSSH

Để kiểm tra phiên bản OpenSSH các bạn sử dụng lệnh:

ssh -V
    

Phiên bản OpenSSH sẽ hiển thị chi tiết như sau

root@aapanel:~# ssh -V
OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022

• Nâng cấp phiên bản OpenSSH

Để nâng cấp phiên bản OpenSSH các bạn sử dụng lệnh:

apt update -y
apt-get install --only-upgrade openssh-server -y
    

Bây giờ hãy kiểm tra lại phiên bản sau khi nâng cấp

root@aapanel:~# ssh -V
OpenSSH_8.9p1 Ubuntu-3ubuntu0.10, OpenSSL 3.0.2 15 Mar 2022

2. Hệ điều hành Almalinux OS 9

Đảm bảo OpenSSH được cập nhật lên phiên bản openssh-8.7p1-38.el9.alma.2 trở lên.

Nếu hệ điều hành Almalinux OS 9 mới vừa cài đặt bạn có thể chạy lênh dưới để update hệ điều hành, bao gồm cả phiên bản OpenSSH.

dnf update -y
    

Kết quả:

rpm -q openssh-server
openssh-server-8.7p1-38.el9.alma.2.x86_64

3. Hệ điều hành Rocky Linux 9

• Kiểm tra phiên bản hiện tại OpenSSH

Đảm bảo OpenSSH được cập nhật lên phiên bản openssh-8.7p1-38.el9_4 trở lên.

Để kiểm tra phiên bản OpenSSH các bạn sử dụng lệnh:

rpm -q openssh-server
openssh-server-8.7p1-34.el9.x86_64
    

Link tham khảo tại đây:

• Nâng cấp phiên bản OpenSSH

dnf install rocky-release-security -y
dnf config-manager --disable security-common
dnf --enablerepo=security-common update openssh\*
    

Lưu ý: Trong quá trình cài đặt openssh, dịch vụ sẽ tự động khởi động lại.

Bây giờ hãy kiểm tra lại phiên bản sau khi nâng cấp

rpm -q openssh
openssh-8.7p1-38.el9_4.1.x86_64

4. Hệ điều hành Debian

Phiên bản Debian 12 (bookworm): Đảm bảo OpenSSH được cập nhật lên phiên bản OpenSSH_9.2p1 Debian-2+deb12u3 trở lên.

• Kiểm tra phiên bản hiện tại OpenSSH

Để kiểm tra phiên bản OpenSSH các bạn sử dụng lệnh:

ssh -V
    

Phiên bản OpenSSH sẽ hiển thị chi tiết như sau

ssh -V
OpenSSH_9.2p1 Debian-2+deb12u2, OpenSSL 3.0.11 19 Sep 2023

• Nâng cấp phiên bản OpenSSH

Để nâng cấp phiên bản OpenSSH các bạn sử dụng lệnh:

apt update -y
apt-get install --only-upgrade openssh-server -y
    

Bây giờ hãy kiểm tra lại phiên bản sau khi nâng cấp

root@aapanel:~# ssh -V
OpenSSH_9.2p1 Debian-2+deb12u3, OpenSSL 3.0.13 30 Jan 2024

Nếu máy chủ của bạn đang sử dụng phiên bản OpenSSH bị ảnh hưởng, hãy cập nhật ngay khi có thể để tránh các rủi ro về bảo mật cho Server của bạn. Chúc các bạn thực hiện thành công.!

Nguồn: AZDIGI