セキュリティに関する公開情報
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
ここでは、Migrate to Virtual Machines 5.0 に関連する Google からのセキュリティに関する公開情報について説明します。
GCP-2024-040
公開日: 2024 年 7 月 10 日
説明 |
重大度 |
注 |
VMware ソースを Migrate to Virtual Machines に接続するために使用される仮想アプライアンスである Migrate Connector は、OpenSSH Daemon(SSHD)のセキュリティ バグ(CVE-2024-6387)の影響を受けます。
必要な対策
この問題を軽減するため、Migrate Connector バージョン 2.6.2497 がリリースされ、段階的に展開されています。適用するには、Google Cloud コンソールの [Migrate to Virtual Machines] ページに移動します。ソース アプライアンスのアップデートが利用可能になると、「ソースでアップデートが利用可能です」というバナーが表示されます。アップデートを承認して、Migrate Connector のアップデートを開始します。詳細については、Migrate Connector の構成を変更するをご覧ください。
リスクを直ちに軽減するには、次のいずれかのオプションを使用します。
- Migrate Connector にログインして、次のコマンドを実行します。
sudo sed -i 's/#LoginGraceTime 2m/LoginGraceTime 0/g' /etc/ssh/sshd_config
または
/etc/ssh/sshd_config を手動で編集し、LoginGraceTime のエントリのコメント化を解除して、値を 0 に設定します。
- 次のコマンドを実行して SSHD を再起動します。
sudo systemctl restart ssh
対処されている脆弱性
先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性により、リモートシェルへのアクセス権の取得が可能な競合状態が悪用され、攻撃者が root アクセス権を取得する可能性があります。本情報の公開時点において、脆弱性の悪用は困難であり、1 台のマシンに対する攻撃に数時間かかるものとみられます。悪用されたという報告は確認されていません。
|
重大 |
CVE-2024-6387 |
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2024-07-19 UTC。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻訳に関する問題"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"その他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"わかりやすい"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"問題の解決に役立った"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"その他"
}]