此页面由 Cloud Translation API 翻译。

安全公告

我们可能会不时发布与以下内容相关的安全公告：裸金属解决方案。裸金属解决方案的所有安全公告都会此处的说明。

GCP-2024-040

发布日期 ：2024-07-02

说明	严重级别	备注
在 OpenSSH 服务器 (sshd) 中发现了一个漏洞 CVE-2024-6387。攻击者可以在基于 glibc 的 Linux 系统上远程利用此漏洞：以根用户身份执行未经身份验证的远程代码，因为它会影响 sshd 的特权代码，该代码未采用沙盒机制，而是以完整权限。在发布时，人们认为需要进行漏洞利用在竞态条件中胜出，该条件难以被成功利用，并且可能每台机器受到攻击需要几个小时才能完成裸金属解决方案的影响根据我们的调查，我们并未发现 Google 管理的裸金属解决方案基础架构上有任何企图利用漏洞进行攻击。该怎么做？我们建议在安全的 OpenSSH 版本 9.8p1 发布后更新到该版本，或者在操作系统供应商提供 sshd 补丁后应用 sshd 补丁。我们还建议在不需要的位置停用/移除存在漏洞的 OpenSSH 服务器。设置防火墙规则，限制来自可信网络端点的 SSH 服务器访问。监控任何涉及 SSH 服务器的异常网络活动。	严重	CVE-2024-6387

说明

严重级别

备注

在 OpenSSH 服务器 (sshd) 中发现了一个漏洞 CVE-2024-6387。攻击者可以在基于 glibc 的 Linux 系统上远程利用此漏洞：以根用户身份执行未经身份验证的远程代码，因为它会影响 sshd 的特权代码，该代码未采用沙盒机制，而是以完整权限。

在发布时，人们认为需要进行漏洞利用在竞态条件中胜出，该条件难以被成功利用，并且可能每台机器受到攻击需要几个小时才能完成

裸金属解决方案的影响

根据我们的调查，我们并未发现 Google 管理的裸金属解决方案基础架构上有任何企图利用漏洞进行攻击。

该怎么做？

我们建议在安全的 OpenSSH 版本 9.8p1 发布后更新到该版本，或者在操作系统供应商提供 sshd 补丁后应用 sshd 补丁。
我们还建议在不需要的位置停用/移除存在漏洞的 OpenSSH 服务器。
设置防火墙规则，限制来自可信网络端点的 SSH 服务器访问。
监控任何涉及 SSH 服务器的异常网络活动。

严重

CVE-2024-6387