Pada 1 Juli 2024, kerentanan serius diungkap pada server OpenSSH (sshd) di sistem Linux berbasis glibc. Kerentanan ini dapat memungkinkan eksekusi kode jarak jauh (RCE) tanpa autentikasi dengan hak akses root. Tingkat keparahan kerentanan ini (CVE-2024-6387) dinilai tinggi (CVSS 8.1).
Versi yang terdampak:
- OpenSSH 8.5p1 ~ 9.8p1
- Versi sebelum 4.4p1 (namun hanya jika patch backport untuk CVE-2006-5051 atau CVE-2008-4109 tidak diterapkan)
Situasi saat ini:
Per 1 Juli 2024, sekitar 7 juta instance OpenSSH versi 8.5p1-9.7p1 terekspos di seluruh dunia, dan total terdapat 7,3 juta versi yang rentan.
Langkah penanganan:
Disarankan untuk memperbarui semua instance OpenSSH ke versi terbaru (9.8p1 atau lebih baru).
Tautan referensi 1. Tautan langkah penanganan untuk GCP:
https://cloud.google.com/compute/docs/security-bulletins?_gl=11wwv5bb_gaNjg1MDk2NTIzLjE2OTMzNTcxMTU._ga_WH2QY8WWF5*MTcxOTg4MDU3My4yMTAuMS4xNzE5ODgzMDQyLjQwLjAuMA..&_ga=2.155752892.-685096523.1693357115&_gac=1.261229439.1718046772.CjwKCAjwyJqzBhBaEiwAWDRJVDmJJ7bqOj0YkCWqpfT2ru7lEym__xfkOjfaZwJ0rJC2Drq5qw3oZxoC1bEQAvD_BwE#gcp-2024-040&?hl=en
Tautan referensi 2. https://www.openssh.com/txt/release-9.8
11 komentar
Katanya Amazon Linux 2 tidak terdampak oleh kerentanan tersebut. https://explore.alas.aws.amazon.com/CVE-2024-6387.html
Sepertinya untuk Ubuntu cukup upgrade ke versi yang disebutkan di sini.
https://ubuntu.com/security/notices/USN-6859-1
Sepertinya itu dua file. Apakah prosesnya dilakukan dengan metode instalasi source code? Karena server-nya berada di jaringan tertutup, jadi saya tidak bisa menggunakan
apt. Mohon panduan cara patch-nya.Apakah di Ubuntu versi 22.04 akan tetap ter-patch jika dilakukan seperti di bawah ini?
Sepertinya bisa di-install dengan ssh terbaru, tetapi versinya juga tidak berubah dan saya tidak tahu cara mengecek apakah patch-nya sudah diterapkan.
sudo apt update
sudo apt-get install -y ssh
Jika menggunakan Ubuntu 22.04, saat dicek dengan perintah di bawah, jika versinya adalah
1:8.9p1-3ubuntu0.10, berarti patch sudah diterapkan.sudo dpkg -l openssh-server
Oh, jadi sepertinya cukup jalankan
apt-get install -y sshya.Saya sudah cek versi
1:8.9p1-3ubuntu0.10.Terima kasih~ hehe
Versi yang terdampak adalah "OpenSSH 8.5p1 ~ 9.8p1", dan jika langkah penanganannya adalah "versi terbaru (9.8p1 atau lebih baru)"...
"9.8p1" terlihat sama, jadi sebenarnya bagaimana?
Sebagai contoh, Debian menambalnya seperti berikut
https://security-tracker.debian.org/tracker/source-package/openssh
https://security-tracker.debian.org/tracker/CVE-2024-6387
Biasanya vendor distribusi menyiapkan versi yang nominalnya 9.8p1, tetapi hanya kerentanan keamanannya yang sudah ditambal. Dengan begitu, saat paket diperbarui, versinya akan diperbarui ke versi tersebut.
Syukurlah, setidaknya di mesin 32-bit butuh 7–8 jam, dan di mesin 64-bit katanya masih belum dipastikan butuh waktu selama apa.
Tentu saja yang terbaik adalah segera memasang versi yang sudah diperbaiki, tetapi kalau memang sulit, setidaknya akan membantu jika fail2ban atau yang semacam itu sudah terpasang.