此页面由 Cloud Translation API 翻译。

安全公告

我们可能会不时发布与裸金属解决方案相关的安全公告。所有与裸金属解决方案有关的安全公告都会在这里加以说明。

GCP-2024-040

发布日期： 2024 年 7 月 2 日

说明	严重程度	备注
在 OpenSSH 服务器 (sshd) 中发现了漏洞 CVE-2024-6387。在基于 glibc 的 Linux 系统上，可以远程利用此漏洞：以 root 身份执行未经身份验证的远程代码，因为它会影响 sshd 的特权代码，该代码未处于沙盒中，并以完全特权运行。截至本文发布之时，我们认为利用该漏洞十分困难，需要赢得竞争条件，而这很难成功利用，攻击每台设备可能需要花费数小时的时间。裸金属解决方案的影响根据我们的调查，我们没有发现任何针对现有 Google 托管的裸金属解决方案基础架构的利用尝试。该怎么做？我们建议您在安全的 OpenSSH 版本 9.8p1 发布后立即更新到该版本，或者在操作系统供应商提供 sshd 补丁后立即应用该补丁。我们还建议在不需要的情况下停用/移除易受攻击的 OpenSSH 服务器。设置防火墙规则，以限制来自受信任网络端点的 SSH 服务器访问权限。监控是否存在涉及 SSH 服务器的任何异常网络活动。	严重	CVE-2024-6387

说明

严重程度

备注

在 OpenSSH 服务器 (sshd) 中发现了漏洞 CVE-2024-6387。在基于 glibc 的 Linux 系统上，可以远程利用此漏洞：以 root 身份执行未经身份验证的远程代码，因为它会影响 sshd 的特权代码，该代码未处于沙盒中，并以完全特权运行。

截至本文发布之时，我们认为利用该漏洞十分困难，需要赢得竞争条件，而这很难成功利用，攻击每台设备可能需要花费数小时的时间。

裸金属解决方案的影响

根据我们的调查，我们没有发现任何针对现有 Google 托管的裸金属解决方案基础架构的利用尝试。

该怎么做？

我们建议您在安全的 OpenSSH 版本 9.8p1 发布后立即更新到该版本，或者在操作系统供应商提供 sshd 补丁后立即应用该补丁。
我们还建议在不需要的情况下停用/移除易受攻击的 OpenSSH 服务器。
设置防火墙规则，以限制来自受信任网络端点的 SSH 服务器访问权限。
监控是否存在涉及 SSH 服务器的任何异常网络活动。

严重

CVE-2024-6387