跳过正文
Background Image
  1. 数据库老司机/

CVE-2024-6387 SSH 漏洞修复

·343 字·1 分钟· ·
冯若航
作者
冯若航
Pigsty 创始人, @Vonng
目录

漏洞描述,CVE-2024-6387: https://nvd.nist.gov/vuln/detail/CVE-2024-6387

基本上影响的都是比较新版本的操作系统,老的系统,比如 CentOS 7.9,RockyLinux 8.9 ,Ubuntu 20.04,Debian 11 因为 OpenSSH 版本老逃过一劫。

在 Pigsty 支持的操作系统发行版中,RockyLinux 9.3,Ubuntu 22.04,Debian 12 受到影响:

ssh -V

OpenSSH_8.7p1, OpenSSL 3.0.7 1 Nov 2022                       # rockylinux 9.3
OpenSSH_8.9p1 Ubuntu-3ubuntu0.6, OpenSSL 3.0.2 15 Mar 2022    # ubuntu 22.04
OpenSSH_9.2p1 Debian-2+deb12u2, OpenSSL 3.0.11 19 Sep 2023    # debian 12

诊断方法
#

featured.png

漏洞公告:

RockyLinux 9+: https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression

Debian 12+: https://security-tracker.debian.org/tracker/CVE-2024-6387

Ubuntu 22.04+: https://ubuntu.com/security/CVE-2024-6387


处理方法
#

使用系统的默认包管理器升级 openssh-server 即可。

升级后的版本参考:

# rockylinux 9.3  : 8.7p1-34.el9      -------> 8.7p1-38.el9_4.1    
# ubuntu 22.04    :                   -------> 8.9p1-3ubuntu0.6    
# debian 12       :                   -------> 1:9.2p1-2+deb12u2   
systemctl restart sshd

rocky9.3
#

$ rpm -q openssh-server
openssh-server-8.7p1-34.el9.x86_64      # vulnerable

$ yum install openssh-server
openssh-server-8.7p1-38.el9_4.1.x86_64  # fixed

debian12
#

$ dpkg -s openssh-server


$ apt install openssh-server
Version: 1:9.2p1-2+deb12u2              # fixed

ubuntu22.04
#

$ dpkg -s openssh-server

$ apt install openssh-server
Version: 1:8.9p1-3ubuntu0.6

后续改进
#

在 Pigsty 的下个版本 v2.8 中,默认会下载并安装当前最新版本的 openssh-server,从而修复此漏洞。

相关文章

使用Pigsty,PG,PGVector自建Dify -- AI工作流平台
·2692 字·6 分钟
Dify 是一个生成式 AI 应用创新引擎,开源的 LLM 应用开发平台,本文介绍了如何使用 Pigsty 自建 Dify。
Oracle 还能挽救 MySQL 吗?
·2283 字·5 分钟
Percona 创始人 Peter Zaitsev 在官方博客上公开表达了对 MySQL,及其知识产权属主 Oracle 的失望,以及对版本越高性能越差的不满,这确实是一个值得关注的信号。
Oracle最终还是杀死了MySQL
·1699 字·4 分钟
Peter Zaitsev是MySQL生态重要公司Percona的创始人,他撰文痛批 Oracle 的作为/与不作为杀死了 MySQL。
MySQL性能越来越差,Sakila将何去何从?
·2933 字·6 分钟
MySQL版本越高性能反而越差?在PostgreSQL高歌猛进,吞噬数据库世界的同时,MySQL的性能和功能被甩开的越来越远。为啥MySQL在Oracle手中止步不前?我看主要还是云厂商白嫖的锅,PG应当引以为戒。
让PG停摆一周的大会:PGCon.Dev 2024 参会记
·9967 字·20 分钟
大会议程与主题分享,酒吧社交,自组织会议,PG仓库是如何维护的,社区参与度,一些中国特色问题。
PostgreSQL 17 beta1 发布!
·2874 字·6 分钟
PostgreSQL 全球开发组宣布,PostgreSQL 17 的首个 Beta 版本现已开放,这次 PG 真的是把牙膏管给挤爆啦!