Qualysは7月1日(米国時間)、「regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server|Qualys Security Blog」において、OpenSSHからリモートコード実行(RCE: Remote Code Execution)の脆弱性が発見されたと報じた。Qualysはこの脆弱性を「regreSSHion」と呼称している。regreSSHionを悪用されると、認証されていない第三者に遠隔から管理者権限で任意のコードを実行される可能性がある。

  • regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server|Qualys Security Blog

    regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server|Qualys Security Blog

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-6387 - シグナルハンドラー競合状態の脆弱性。LoginGraceTimeにて指定された時間内に認証を完了しない場合に呼び出されるSIGALRMハンドラーから、非同期シグナルセーフではない関数を呼び出す

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • OpenSSH 8.5/8.5p1から9.7/9.7p1までのバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • OpenSSH 9.8/9.8p1

影響と対策

regreSSHionは多くのLinuxディストリビューションに影響がある。Qualysの調査によるとインターネット上の脆弱なサーバは1,400万台以上とされる。なお、regreSSHionは2006年に公開されたOpenSSH 4.4より前のバージョンに存在した脆弱性「CVE-2006-5051」と同じ脆弱性とされ、OpenSSH 8.5において再発したとされる。

QualysはregreSSHionの悪用は難しいと説明している。デフォルト構成のOpenSSHに影響するものの、悪用には複雑なエクスプロイトの開発が必要だったという。Qualysはパッチの適用に時間をかける必要があるとして、現時点でエクスプロイトの公開はしていない。

regreSSHionの深刻度は重要(Important)と評価されており注意が必要。QualysはOpenSSHを稼働させているサーバの管理者に対し、影響を確認してアップデートすることを推奨している。速やかなアップデートが実施できない場合は、軽減策としてアクセス制限の実施および不正アクセスを検出できるセキュリティソリューションの導入が望まれている。