MENU
テクノロジーのハウトゥーを中心に関連のニュース及び速報、レビューや特集記事を掲載 | スパイロ
  1. ホーム
  2. 情報セキュリティ
  3. 【Ubuntu】OpenSSHの脆弱性(CVE-2024-6387)を対処する方法!

【Ubuntu】OpenSSHの脆弱性(CVE-2024-6387)を対処する方法!

情報セキュリティ
OpenSSH Ubuntu ニュース 情報セキュリティ 脆弱性
当ページのリンクには広告が含まれています。
【Ubuntu】OpenSSHの脆弱性(CVE-2024-6387)を対処する方法!という記事のアイキャッチ画像
【Ubuntu】OpenSSHの脆弱性(CVE-2024-6387)を対処する方法!

2024年7月1日、OpenSSHにおいて重大なセキュリティ脆弱性(CVE-2024-6387)が発見されました。

この脆弱性は、OpenSSH 8.5p1以降のバージョンに影響を与え、認証されていないリモート攻撃者が特定の条件下でシステムにアクセスできる可能性があります。

この記事では、Ubuntuにて「CVE-2024-6387」を対処する方法を解説します。

すぐに修正

対処方法まで飛ぶ!

この記事を書いた人!

Author Avatar
spa
この記事の著者

WordPress歴

Discord Bot開発歴

自宅サーバー運用歴

お問い合わせ
広告
目次

脆弱性の概要

項目詳細
CVE IDCVE-2024-6387
影響を受けるバージョンOpenSSH 8.5p1以上、9.8p1未満
攻撃元区分ネットワーク
CVSSスコア8.1 (High)

この脆弱性は、2006年に修正された類似の問題(CVE-2006-5051)の再発です。

攻撃者は、設定された時間内に認証に失敗することで、この脆弱性を悪用する可能性があります。

脆弱性の影響

発表された脆弱性(CVE-2024-6387)の悪用により、深刻な影響が考えられます。

まず、リモートから任意のコードが実行される可能性があります。

攻撃者がシステムに不正にアクセスし、悪意のあるコードを実行することで、システムの制御権が奪取される危険性があります。

これは、データの窃取や改ざん、さらなる攻撃の足がかりとなる可能性があり、極めて深刻な脅威です。

また、リモートからSSHDのクラッシュを引き起こされる可能性もあります。

攻撃者がSSHサービスを意図的にクラッシュさせることで、サービス拒否(DoS)攻撃を引き起こす可能性があります。

これにより、正当なユーザーのSSH接続が妨げられ、システムの可用性が著しく損なわれる恐れがあります。

特に、VPSなどのリモート管理に依存している環境では、運用に重大な支障をきたす可能性があります。

これらの影響は、システムのセキュリティと安定性に重大なリスクをもたらします。そのため、速やかな対策が不可欠です。

広告

UbuntuでCVE-2024-6387に対処する4ステップ

Ubuntuシステムでこの脆弱性に対処するには、以下の手順を実行します。

  • バージョン確認
  • システム更新
  • 設定ファイルの修正
  • SSHサービスの再起動

これらの手順は、システムのセキュリティを確保するために重要ですので、注意深く実行してください。

バージョン確認

まず、現在インストールされているOpenSSHのバージョンを確認します。

これにより、お使いのシステムが脆弱性の影響を受けるバージョンかどうかを判断できます。

ssh -V

このコマンドを実行すると、インストールされているOpenSSHのバージョンが表示されます。

システム更新

次に、システムとOpenSSHサーバーを最新の状態に更新します。

これにより、利用可能な最新のセキュリティパッチが適用されます。

sudo apt update
sudo apt upgrade openssh-server

これらのコマンドを実行することで、システムのパッケージリストが更新されます。

また、OpenSSHサーバーが最新バージョンにアップグレードされます。

アップデート後のバージョンが「OpenSSH 9.8p1以上」であれば以下の「設定ファイルの修正」は不要です!

設定ファイルの修正

「OpenSSH 8.5p1以上、9.8p1未満」の場合、脆弱性に対する一時的な対策が必要です。

そのため、SSHの設定ファイルを修正します!

この修正により、脆弱性を悪用するための条件を無効化します。

sudo nano /etc/ssh/sshd_config

このコマンドでSSHの設定ファイルを開きます。

ファイル内で以下の行を修正します。

LoginGraceTime 0

この設定により、ログイン猶予時間が無制限になり、脆弱性の悪用を防ぐことができます。

ただし、この設定はサービス拒否(DoS)攻撃に対して脆弱になる可能性があるため、恒久的な解決策ではありません。

SSHサービスの再起動

設定変更を反映させるために、SSHサービスを再起動します。

sudo systemctl restart sshd

このコマンドにより、新しい設定が適用され、SSHサービスが再起動されます。

これらの対応策を実施することで、CVE-2024-6387の脆弱性から一時的に保護されます。

「LoginGraceTime 0」の意味と、CVE-2024-6387との関連性

SSH設定の「LoginGraceTime 0」は、ログイン処理の制限時間を撤廃します。

この設定により、ユーザーは認証完了まで無制限の時間を持つことになりました。

通常、この設定はセキュリティリスクを増大させる可能性があります。

しかし、CVE-2024-6387への対処では有効です。

CVE-2024-6387は、ログイン処理中に発生する可能性のある脆弱性でした。

制限時間の撤廃により、この脆弱性の悪用リスクが低減されます。

通常、短いログイン制限時間がセキュリティ上好ましいとされています。

しかし、この脆弱性に対しては、制限時間撤廃が効果的な防御策となるのです。

注意点と対策

この設定には「DoS攻撃リスクの増加」という注意点があります。

そのため、この設定はCVE-2024-6387に対する一時的な対策となるでしょう。

恒久的な修正がリリースされたら、速やかに適用し、通常のLoginGraceTime設定に戻す必要があります。

広告

【まとめ】脆弱性はすぐに対処しよう

OpenSSHの脆弱性(CVE-2024-6387)は、システムに深刻な影響を与える可能性があります。

リモートからの任意のコード実行やSSHDのクラッシュなど、重大なセキュリティリスクが存在します。

早急に対策を行うことが極めて重要です。

上記の手順に従って、システムの更新と設定変更を行ってください。

また、恒久的な修正がリリースされた際には、速やかに適用することを忘れないでください。

【補足】Ubuntuからの公式情報

公式情報は以下のURLで確認できます。

Ubuntu
CVE-2024-6387 | Ubuntu Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.

不明点があればIroHubで質問しよう!

spaが運営するDiscordサーバー「IroHub」で、ブログの内容についてさらに詳しく学べます。

  • 他の読者と交流し、情報交換ができる
  • spaに直接質問ができる
  • 最新の更新情報をいち早くキャッチできる
  • ブログでは触れきれなかった詳細情報を入手できる
  • マインクラフトサーバー「IroCraft」に関する情報や参加方法を知ることができる

コミュニティメンバーとして、より深い議論や情報共有に参加しませんか?また、IroCraftでマインクラフトを一緒に楽しみましょう!

IroHub Discordサーバーに参加する
広告
情報セキュリティ
OpenSSH Ubuntu ニュース 情報セキュリティ 脆弱性
よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

spaのアバター spa

「動画編集→ゲーム依存→プログラミング→自宅サーバー」とオタクルートに生きてます。最近はProxmoxいじってます!

広告

関連記事

目次