Nowe ogłoszenie bezpieczeństwa - NetBSD-SA2024-002 OpenSSH CVE-2024-6387 `regreSSHion'

Ogłoszona niedawno podatność w OpenSSH, która znajduje się w base systemie NetBSD otrzymała drugie w tym roku SA.

Wszystkie wspierane wersje czyli obecnie 9.4 i 10.0 są podatne.

Niepodatne wersje to te skompilowane po 2.07.2024, gdzie plik libssh.so.46.1 został już spatchowany.

Najlepiej wykonać upgrade samodzielnie kompilując system z src/

Jeżeli nie chcesz przebudowywać systemu, mozesz zastosować obejście przez ustawienie:

LoginGraceTime 0

w pliku /etc/sshd/sshd_config.

Zapobiega to podatnosci regreSSHion ale może powodować otwarcie się na wszystkiego rodzaju DDOSy przez zestawianie połączeń bez autoryzacji.

Przykład aktualizacji NetBSD 10:

cd src
cvs update -r netbsd-10 -d -P crypto/external/bsd/openssh/dist
cd crypto/external/bsd/openssh/lib
make USETOOLS=no cleandir
make USETOOLS=no LIBDO.crypto=/usr/lib LIBDO.crypt=/usr/lib LIBDO.z=/usr/lib dependall
make USETOOLS=no install
service sshd restart

Oryginalne ogłoszenie o podatności znajduje się pod tym linkiem.