<?xml version="1.0" encoding="utf-8" standalone="yes"?><feed xmlns="http://www.w3.org/2005/Atom" xml:base="https://foundata.com/" xml:lang="de"><title>Cve-2024-6387 auf foundata</title><id>https://foundata.com/de/tags/cve-2024-6387/feed-atom.xml</id><link rel="self" type="application/atom+xml" hreflang="de" href="https://foundata.com/de/tags/cve-2024-6387/feed-atom.xml" title="atom"/><link rel="alternate" type="text/html" hreflang="de" href="https://foundata.com/de/tags/cve-2024-6387/" title="html"/><link rel="alternate" type="application/rss+xml" hreflang="de" href="https://foundata.com/de/tags/cve-2024-6387/feed-rss.xml" title="rss"/><link rel="alternate" type="application/atom+xml" hreflang="en" href="https://foundata.com/en/tags/cve-2024-6387/feed-atom.xml" title="atom, English"/><link rel="alternate" type="text/html" hreflang="en" href="https://foundata.com/en/tags/cve-2024-6387/feed-atom.xml" title="html, English"/><link rel="alternate" type="application/rss+xml" hreflang="en" href="https://foundata.com/en/tags/cve-2024-6387/feed-atom.xml" title="rss, English"/><updated>2024-07-03T11:25:00Z</updated><author><name>foundata GmbH</name><email>webmaster@foundata.com</email><uri>https://foundata.com/</uri></author><rights>© 2023-2026, foundata GmbH (https://foundata.com)</rights><icon>https://foundata.com/images/feed-icon.67ff83c698af1511552374e80cf5f6ff26d497ef21f04186cf058859d535ca75.svg</icon><logo>https://foundata.com/images/feed-logo.9138f24a120dabc7e3d34003662131cc9c7f2ff153ec39d2f6dea3a48c35b4bf.svg</logo><entry><title type="html">OpenSSH-Sicherheitslücke: regreSSHion (CVE-2024-6387), Remote Code Execution (RCE)</title><id>tag:foundata.com,2024-07-01:/de/blog/2024/cve-2024-6387-regresshion-openssh-rce-sicherheitsluecke/</id><published>2024-07-01T11:50:00Z</published><updated>2024-07-03T11:25:00Z</updated><link href="https://foundata.com/de/blog/2024/cve-2024-6387-regresshion-openssh-rce-sicherheitsluecke/?utm_source=feed-atom" rel="alternate" type="text/html"/><link href="https://foundata.com/en/blog/2024/cve-2024-6387-regresshion-openssh-rce-vulnerability/?utm_source=feed-atom" rel="alternate" type="text/html" hreflang="en"/><link href="https://foundata.com/de/blog/2024/systemeinblicke-kommandozeile-lscpu-lsusb/?utm_source=feed-atom" rel="related" type="text/html" title="Systemeinblicke mit Kommandozeilentools: lscpu und lsusb"/><link href="https://foundata.com/de/blog/2024/quectel-em05-g-thinkpad-t14-gen4-fedora-linux/?utm_source=feed-atom" rel="related" type="text/html" title="Quectel EM05-G (LTE-Modul) in einem ThinkPad T14 Gen4 unter Fedora 39 und 40"/><link href="https://foundata.com/de/blog/2024/verwende-gpl-or-later/?utm_source=feed-atom" rel="related" type="text/html" title='Bitte verwende GPLv3 "or-later" statt "only"'/><link href="https://foundata.com/de/blog/2024/aten-cv211-kvm-linux/?utm_source=feed-atom" rel="related" type="text/html" title="ATEN CV211 (all-in-one KVM-Adapter) unter Fedora Linux nutzen"/><link href="https://foundata.com/de/blog/2024/copyleft-open-source-lizenzen/?utm_source=feed-atom" rel="related" type="text/html" title="Nutze Copyleft-Lizenzen für Open Source oder Lebe mit den Konsequenzen"/><author><name>Andreas Haerter</name><uri>https://andreashaerter.com/</uri></author><summary type="html"><![CDATA[<p><strong>Heute ist eine Aktualisierung aller OpenSSH-Server angesagt, komme was wolle.</strong> Die originale <a href="https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt" target="_blank" rel="noreferrer noopener">Sicherheitswarnung von Qualys</a> ist lesenswert und nicht allzu kompliziert, um sie nachzuvollziehen, sofern man an den Hintergründen interessiert ist. Ein &ldquo;kleines&rdquo; Problem könnte sein, dass dieser Fehler buchstäblich am Tag nach dem Support-Ende von CentOS 8 und FreeBSD 13.2 entdeckt wurde (auch wenn beide wohl aktuell nicht betroffen sind).</p>]]></summary><content type="html" xml:base="https://foundata.com/"><![CDATA[<p><strong>Heute ist eine Aktualisierung aller OpenSSH-Server angesagt, komme was wolle.</strong> Die originale <a href="https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt" target="_blank" rel="noreferrer noopener">Sicherheitswarnung von Qualys</a> ist lesenswert und nicht allzu kompliziert, um sie nachzuvollziehen, sofern man an den Hintergründen interessiert ist. Ein &ldquo;kleines&rdquo; Problem könnte sein, dass dieser Fehler buchstäblich am Tag nach dem Support-Ende von CentOS 8 und FreeBSD 13.2 entdeckt wurde (auch wenn beide wohl aktuell nicht betroffen sind).</p>
<h2 id="mitigation" class="scroll-mt-20 md:scroll-mt-24 wrap-break-word group/heading "><a href="#mitigation" class="group-hover/heading:after:content-['#'] group-hover/heading:after:ml-1.5 group-hover/heading:after:text-content-400" id="mitigation">Mitigation</a></h2><p>Wenn es in der eigenen Umgebung noch alte Systeme gibt, sollte man sicherstellen, dass deren SSHD über Firewalls oder Ähnliches vor Zugriffen von unberechtigten Dritten geschützt werden, um das Problem abzumindern. Es scheint, dass ein Exploit im Durchschnitt viele Login-Versuche benötigt, um ohne weitere Optimierungen erfolgreich zu sein. Dies könnte Administratoren etwas Zeit verschaffen, um heute alles zu patchen, selbst wenn das System bisher über das öffentlichen Internet erreichbar war. Außerdem wurde der Exploit bisher nur für 32-Bit-Systeme gezeigt, auf 64-Bit-Systemen wird ein noch zu entwickelnder Angriff mit hoher Wahrscheinlichkeit langsamer verlaufen (=es werden im Mittel mehr Anmeldeversuche benötigt für einen erfolgreichen Hack).</p>
<p>Sollte man es mit einem System zu tun haben, das aktuell nicht aktualisiert werden kann, <em>könnte</em> es laut der <a href="https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04.openssh.asc" target="_blank" rel="noreferrer noopener">FreeBSD-Sicherheitsmeldung</a> helfen, die Option <code>LoginGraceTime</code> auf <code>0</code> zu setzen:</p>
<blockquote>
<p>If sshd(8) cannot be updated, this signal handler race condition can be mitigated by setting LoginGraceTime to 0 in /etc/ssh/sshd_config and restarting sshd(8). This makes sshd(8) vulnerable to a denial of service (the exhaustion of all MaxStartups connections), but makes it safe from the remote code execution presented in this advisory.</p></blockquote>
<h2 id="betroffene-systeme" class="scroll-mt-20 md:scroll-mt-24 wrap-break-word group/heading "><a href="#betroffene-systeme" class="group-hover/heading:after:content-['#'] group-hover/heading:after:ml-1.5 group-hover/heading:after:text-content-400" id="betroffene-systeme">Betroffene Systeme</a></h2><ul>
<li><a href="https://access.redhat.com/security/cve/cve-2024-6387" target="_blank" rel="noreferrer noopener">Red Hat Enterprise Linux (RHEL) 9</a> (und daher wohl auch alle CentOS 9-Versionen)</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2024-6387" target="_blank" rel="noreferrer noopener">Debian 12 Bookwork</a></li>
<li><a href="https://ubuntu.com/security/notices/USN-6859-1" target="_blank" rel="noreferrer noopener">Ubuntu 22, 23 und 24</a></li>
<li>Potentiell alle Systeme mit OpenSSH 8.5p1 bis 9.8, die erste fehlerbereinigte Version ist OpenSSH 9.8p1.</li>
<li>Potentiell alle Systeme mit OpenSSH kleiner 4.4p1, soweit die eigene Distribution Patches gegen <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5051" target="_blank" rel="noreferrer noopener">CVE-2006-5051</a> oder <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5051" target="_blank" rel="noreferrer noopener">CVE-2026-5051</a> nicht zurückportiert hat.</li>
</ul>
<p>Die Liste ist wahrscheinlich unvollständig und wird ergänzt, je mehr Bestätigungen eingeholt wurden. Am besten startet man den <code>sshd</code>-Dienst nach dem Update neu (z.B. scheint es unter Arch-Linux ansonsten Probleme mit dem Key-Exchange zu geben)</p>
<h2 id="wahrscheinlich-nicht-betroffen-systeme" class="scroll-mt-20 md:scroll-mt-24 wrap-break-word group/heading "><a href="#wahrscheinlich-nicht-betroffen-systeme" class="group-hover/heading:after:content-['#'] group-hover/heading:after:ml-1.5 group-hover/heading:after:text-content-400" id="wahrscheinlich-nicht-betroffen-systeme">Wahrscheinlich nicht betroffen Systeme</a></h2><p>Selbst wenn die eigenen Systeme nicht betroffen zu sein scheinen: Aktualisieren. Jetzt. Es wird viel Forschung zu dieser Schwachstelle geben und möglicherweise werden neue Wege entdeckt, sie auszunutzen.</p>
<p>Nach aktuellem Stand nicht betroffen sind:</p>
<ul>
<li>Red Hat Enterprise Linux (RHEL) 6, 7 und 8<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> (und daher wohl auch alle verwandten CentOS-Versionen)</li>
<li>Debian 11 Bullseye<sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup></li>
<li>FreeBSD<sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup></li>
<li>OpenBSD<sup id="fnref:4"><a href="#fn:4" class="footnote-ref" role="doc-noteref">4</a></sup></li>
</ul>
<h2 id="links" class="scroll-mt-20 md:scroll-mt-24 wrap-break-word group/heading "><a href="#links" class="group-hover/heading:after:content-['#'] group-hover/heading:after:ml-1.5 group-hover/heading:after:text-content-400" id="links">Links</a></h2><p>Sonstige, weiterführende Links und Berichterstattung:</p>
<ul>
<li><a href="https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt" target="_blank" rel="noreferrer noopener">Qualys Security Advisory: regreSSHion: RCE in OpenSSH&rsquo;s server, on glibc-based Linux systems
(CVE-2024-6387)</a></li>
<li><a href="https://news.ycombinator.com/item?id=40843778" target="_blank" rel="noreferrer noopener">Hacker News Thread über (CVE-2024-6387)</a></li>
</ul>
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p>Aus der <a href="https://access.redhat.com/security/cve/cve-2024-6387" target="_blank" rel="noreferrer noopener">Red Hat: CVE-2024-6387</a>-Sicherheitsmeldung: &ldquo;This flaw doesn&rsquo;t affect the OpenSSH versions as shipped with Red Hat Enterprise Linux 6, 7 and 8 as the vulnerability was introduced by a regression in upstream on OpenSSH 8.5p1 which is newer then shipped with the mentioned Red Hat Enterprise Linux versions.&rdquo;&#160;<a href="#fnref:1" class="footnote-backref" role="doc-backlink">&#x21a9;&#xfe0e;</a></p>
</li>
<li id="fn:2">
<p>Siehe <a href="https://security-tracker.debian.org/tracker/CVE-2024-6387" target="_blank" rel="noreferrer noopener">https://security-tracker.debian.org/tracker/CVE-2024-6387</a>.&#160;<a href="#fnref:2" class="footnote-backref" role="doc-backlink">&#x21a9;&#xfe0e;</a></p>
</li>
<li id="fn:3">
<p>Siehe <a href="https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04.openssh.asc" target="_blank" rel="noreferrer noopener">https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04.openssh.asc</a>. Unklare Situation, aber nicht glibc-basiert, und der <code>syslog</code>-Code sieht so aus, als ob er den State nicht beschädigt, wenn er von einem Signal-Handler aufgerufen wird. Im Zweifel patchen.&#160;<a href="#fnref:3" class="footnote-backref" role="doc-backlink">&#x21a9;&#xfe0e;</a></p>
</li>
<li id="fn:4">
<p>Aus der <a href="https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt" target="_blank" rel="noreferrer noopener">Qualsys-Meldung</a>: &ldquo;OpenBSD is notably not vulnerable, because its <code>SIGALRM</code> handler calls <code>syslog_r()</code>, an async-signal-safer version of <code>syslog()</code> that was invented by OpenBSD in 2001.&rdquo; Außerdem Nicht glibc-basierend.&#160;<a href="#fnref:4" class="footnote-backref" role="doc-backlink">&#x21a9;&#xfe0e;</a></p>
</li>
</ol>
</div>
]]></content><category scheme="taxonomy:tags" term="cve-2024-6387" label="cve-2024-6387"/><category scheme="taxonomy:tags" term="openssh" label="openssh"/><category scheme="taxonomy:tags" term="security" label="security"/></entry></feed>