コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ システムチュートリアル Linux Regresshion(CVE-2024-6387)のバグは、Openssh 9.8でパッチされています

Regresshion(CVE-2024-6387)のバグは、Openssh 9.8でパッチされています

Jennifer Aniston
Jennifer Aniston
Mar 16, 2025 am 09:10 AM

Regresshion(CVE-2024-6387)のバグは、Openssh 9.8でパッチされています

最近、セキュリティ研究者は、広く使用されているOpenssh Secure Communication Tool内で、「Regresshion」(CVE-2024-6387)と呼ばれる重要な脆弱性を明らかにしました。この欠陥は重大なリスクをもたらし、リモート攻撃者が影響を受けるシステムで悪意のあるコードを実行できる可能性があります。この記事では、脆弱性について詳しく説明し、重要な緩和手順を提供します。

目次

  • 影響を受けるOpenSSHバージョン
  • Openssh 9.8:ソリューション
    • SSHDの人種状態(8)
    • SSH(1)ObscureKeyStroketimingのロジックエラー
  • システムを保護します
  • 重要な調査結果
  • まとめ

Regresshion(CVE-2024-6387)の脆弱性を理解する

Qualys Threat Research Unit(TRU)は、OpenSSH Server(SSHD)コンポーネントの認証されていないリモートコード実行(RCE)脆弱性であるRegresshionを発見しました。 GLIBCを利用してLinuxシステムに影響を与えるこの重要な欠陥により、攻撃者はユーザーの相互作用なしにルート特権を達成できます。驚くべきことに、これは20年近くで最初の主要なOpenSSHの脆弱性です。

影響を受けるOpenSSHバージョン

4.4p1の前のバージョンと8.5p1から9.7p1の範囲のバージョン(9.8p1を除く)は、この脆弱性の影響を受けやすくなります。

Openssh 9.8:ソリューション

2024年7月1日にリリースされたOpenssh 9.8は、Regresshionの脆弱性と別のセキュリティの問題に直接対処します。

1。sshdの人種状態(8)

SSHD(8)(バージョン8.5p1〜9.7p1)の回帰脆弱性により、ルート特権を使用した任意のコード実行が可能になります。 ASLRを有効にした32ビットLinux/GLIBCシステムでは、搾取の成功が実証されています。 64ビットの搾取は実行可能と見なされますが、未確認のままです。重要なことに、OpenBSDシステムは影響を受けません。この脆弱性は、Qualys Security Advisoryチームによって報告されました。

2。SSH(1)ObsureKeyStroketimingの論理エラー

OpenSSHバージョン9.5から9.7には、SSH(1)ObscureKeystroketiming機能にロジックエラーが含まれており、効果がありませんでした。これにより、ネットワークパケットの受動的な観察により、キーストロークのタイミング情報が明らかになり、タイミング攻撃に対する長年のセキュリティ対策が損なわれました。この欠陥は、ケンブリッジ大学のコンピューターラボのフィリップスギアヴリディスと研究者によって独立して発見されました。

システムを保護します

OpenSSH 9.8または後のバージョンへの即時の更新が重要です。この更新により、両方の脆弱性が解決されます。多くのLinuxディストリビューションには、デフォルトのリポジトリにパッチされたバージョンが既に含まれています。次のコマンドを使用して更新します(特定の配布にコマンドを適応します):

 #アルパインLinux
sudo apk update && sudo apkアップグレードopenssh

#Arch Linux
sudo pacman -syu openssh

#debianベース(Debian、ubuntu)
sudo apt update && sudo aptアップグレードopenssh-server

#Red Hatベース(Rhel、Centos、Fedora)
sudo dnf icheck-update && sudo dnf update openssh-server

#古いrhel/centos
sudo yum check-update && sudo yum update openssh-server

#SUSEベース(OpenSuse、sles)
Sudo Zypper Refresh && Sudo Zypper Update openssh
ログイン後にコピー

実行中の更新を確認します: ssh -V

重要な調査結果

2024年7月1日にリリースされたOpenSsh 9.8、2つの重要な脆弱性のパッチ

  • 重要なSSHDの脆弱性:バージョン8.5p1から9.7p1に影響を与え、不正なルートアクセスを付与する可能性があります。 ASLRを使用して32ビットLinux/GLIBCシステムで正常に活用されました。 OpenBSDは脆弱ではありません。 (Qualysによって発見)
  • タイミング攻撃の脆弱性:バージョン9.5から9.7に影響を及ぼし、キーストロークのタイミング情報を公開する可能性があります。 (Philippos Giavridisとケンブリッジ大学の研究者による発見)

まとめ

Regresshionの脆弱性は、約20年ぶりの主要なOpenSSHの欠陥を示しており、セキュリティの更新の継続的な必要性を強調しています。 OpenSSH 9.8への即時アップグレードを強くお勧めします。

リソース:

  • OpenSSH 9.8リリースノート

以上がRegresshion(CVE-2024-6387)のバグは、Openssh 9.8でパッチされていますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

Windows11 KB5054979の新しいものと更新の問題を修正する方法
4週間前 By DDD
KB5055523を修正する方法Windows 11にインストールできませんか?
3週間前 By DDD
KB5055518を修正する方法Windows 10にインストールできませんか?
3週間前 By DDD
R.E.P.O.のすべての敵とモンスターの強度レベル
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
ブループリンス:地下室への行き方
3週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7937
15
Java チュートリアル
1652
14
CakePHP チュートリアル
1412
52
Laravel チュートリアル
1303
25
PHP チュートリアル
1250
29
もっと見る
Related knowledge
Linuxは何に最適なものですか? Linuxは何に最適なものですか? Apr 03, 2025 am 12:11 AM

Linuxは、サーバー管理、組み込みシステム、デスクトップ環境として最適です。 1)サーバー管理では、LinuxはWebサイト、データベース、アプリケーションをホストするために使用され、安定性と信頼性を提供します。 2)組み込みシステムでは、Linuxは柔軟性と安定性のため、スマートホームおよび自動車電子システムで広く使用されています。 3)デスクトップ環境では、Linuxは豊富なアプリケーションと効率的なパフォーマンスを提供します。

Linuxの5つの基本コンポーネントは何ですか? Linuxの5つの基本コンポーネントは何ですか? Apr 06, 2025 am 12:05 AM

Linuxの5つの基本コンポーネントは次のとおりです。1。カーネル、ハードウェアリソースの管理。 2。機能とサービスを提供するシステムライブラリ。 3.シェル、ユーザーがシステムと対話するインターフェイス。 4.ファイルシステム、データの保存と整理。 5。アプリケーション、システムリソースを使用して機能を実装します。

Linuxの最も使用は何ですか? Linuxの最も使用は何ですか? Apr 09, 2025 am 12:02 AM

Linuxは、サーバー、組み込みシステム、デスクトップ環境で広く使用されています。 1)サーバーフィールドでは、Linuxは、その安定性とセキュリティにより、Webサイト、データベース、アプリケーションをホストするための理想的な選択肢となっています。 2)埋め込みシステムでは、Linuxは高いカスタマイズと効率で人気があります。 3)デスクトップ環境では、Linuxはさまざまなユーザーのニーズを満たすために、さまざまなデスクトップ環境を提供します。

Linuxの基本を学ぶ方法は? Linuxの基本を学ぶ方法は? Apr 10, 2025 am 09:32 AM

基本的なLinux学習の方法は次のとおりです。1。ファイルシステムとコマンドラインインターフェイス、2。LS、CD、MKDIR、3。ファイルの作成と編集などのファイル操作を学習するマスター基本コマンド、4。

Linuxデバイスとは何ですか? Linuxデバイスとは何ですか? Apr 05, 2025 am 12:04 AM

Linuxデバイスは、サーバー、パーソナルコンピューター、スマートフォン、組み込みシステムなどのLinuxオペレーティングシステムを実行するハードウェアデバイスです。彼らはLinuxの力を利用して、Webサイトのホスティングやビッグデータ分析などのさまざまなタスクを実行します。

Linuxの欠点は何ですか? Linuxの欠点は何ですか? Apr 08, 2025 am 12:01 AM

Linuxの欠点には、ユーザーエクスペリエンス、ソフトウェア互換性、ハードウェアサポート、学習曲線が含まれます。 1.ユーザーエクスペリエンスは、WindowsやMacOほどフレンドリーではなく、コマンドラインインターフェイスに依存しています。 2。ソフトウェアの互換性は他のシステムほど良くなく、多くの商用ソフトウェアのネイティブバージョンがありません。 3.ハードウェアサポートはWindowsほど包括的ではなく、ドライバーは手動でコンパイルされる場合があります。 4.学習曲線は急で、コマンドラインの操作をマスターするには時間と忍耐が必要です。

インターネットはLinuxで実行されますか? インターネットはLinuxで実行されますか? Apr 14, 2025 am 12:03 AM

インターネットは単一のオペレーティングシステムに依存していませんが、Linuxはその上で重要な役割を果たしています。 Linuxは、サーバーやネットワークデバイスで広く使用されており、安定性、セキュリティ、スケーラビリティに人気があります。

Linux操作とは何ですか? Linux操作とは何ですか? Apr 13, 2025 am 12:20 AM

Linuxオペレーティングシステムのコアは、コマンドラインインターフェイスで、コマンドラインを介してさまざまな操作を実行できます。 1.ファイルおよびディレクトリ操作は、ファイルとディレクトリを管理するために、LS、CD、MKDIR、RM、その他のコマンドを使用します。 2。ユーザーおよび許可管理は、useradd、passwd、chmod、その他のコマンドを介してシステムのセキュリティとリソースの割り当てを保証します。 3。プロセス管理は、PS、Kill、およびその他のコマンドを使用して、システムプロセスを監視および制御します。 4。ネットワーク操作には、Ping、Ifconfig、SSH、およびネットワーク接続を構成および管理するためのその他のコマンドが含まれます。 5.システムの監視とメンテナンスは、TOP、DF、DUなどのコマンドを使用して、システムの動作ステータスとリソースの使用を理解します。

See all articles