1 Temmuz 2024'te, glibc tabanlı Linux sistemlerindeki OpenSSH sunucusu (sshd) için kritik bir güvenlik açığı açıklandı. Bu açık, kimliği doğrulanmamış uzaktan kod çalıştırmanın (RCE) root yetkileriyle gerçekleşmesine yol açabilir. Bu açığın (CVE-2024-6387) önem derecesi yüksek (CVSS 8.1) olarak değerlendiriliyor.
Etkilenen sürümler:
- OpenSSH 8.5p1 ~ 9.8p1
- 4.4p1 öncesi sürümler (ancak yalnızca CVE-2006-5051 veya CVE-2008-4109 için backport yamaları uygulanmadıysa)
Mevcut durum:
1 Temmuz 2024 itibarıyla dünya genelinde yaklaşık 7 milyon adet OpenSSH 8.5p1-9.7p1 sürümü örneği internete açık durumda ve toplam 7,3 milyon savunmasız sürüm bulunuyor.
Alınması gereken önlem:
Tüm OpenSSH örneklerinin en güncel sürüme (9.8p1 veya üzeri) güncellenmesi öneriliyor.
Referans bağlantı 1. GCP için önlem bağlantısı:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
Referans bağlantı 2. https://www.openssh.com/txt/release-9.8
11 yorum
amazon linux 2 için bu güvenlik açığının geçerli olmadığı söyleniyor. https://explore.alas.aws.amazon.com/CVE-2024-6387.html
Ubuntu’da burada belirtilen sürüme yükseltmek yeterli gibi görünüyor.
https://ubuntu.com/security/notices/USN-6859-1
openssh_8.9p1-3ubuntu0.10.debian.tar.xzopenssh_8.9p1.orig.tar.gzGörünüşe göre iki dosya var; kaynak kod kurulum yöntemiyle mi ilerlemek gerekiyor?
Sunucu kapalı ağda olduğu için
aptkullanamıyorum.Yama yöntemine dair biraz rehberlik rica ediyorum.
Ubuntu 22.04 sürümünde aşağıdaki şekilde ilerlesem de yama uygulanmış olur mu?
En güncel ssh kuruluyor gibi görünüyor ama sürüm de değişmiyor; yamanın uygulanıp uygulanmadığını doğrulamanın bir yolu yok gibi.
sudo apt update
sudo apt-get install -y ssh
Ubuntu 22.04 kullanıyorsanız, aşağıdaki komutla kontrol ettiğinizde sürüm
1:8.9p1-3ubuntu0.10ise yama uygulanmış demektir.sudo dpkg -l openssh-serverO zaman
apt-get install -y sshçalıştırmam yeterli oluyor sanırım."1:8.9p1-3ubuntu0.10"sürümünü kontrol ettim.Teşekkürler~ heh
Etkilenen sürümler "OpenSSH 8.5p1 ~ 9.8p1" ve çözüm olarak da "en güncel sürüm (9.8p1 ve üzeri)" deniyorsa..
"9.8p1" aynı görünüyor; bu durumda nasıl değerlendirmek gerekiyor?
Örneğin Debian aşağıdaki gibi yama uyguluyor
https://security-tracker.debian.org/tracker/source-package/openssh
https://security-tracker.debian.org/tracker/CVE-2024-6387
Genellikle dağıtım satıcılarında sürüm 9.8p1 görünür, ancak yalnızca güvenlik açığını yamalayan bir sürüm ayrıca hazırlanır. Böylece paket güncellemesi sırasında o sürüme güncellenir.
Neyse ki 32 bit makinelerde 7-8 saat sürdüğü, 64 bit makinelerde ise bunun ne kadar süreceğinin henüz belirlenmediği söyleniyor.
Elbette düzeltilmiş sürümü hemen kurmak en iyisi; ama bu gerçekten zorsa, en azından
fail2bangibi bir şey kuruluysa o da yardımcı olabilir.