openssh高危漏洞CVE-2024-6387暂时无法更新环境下的临时缓解办法

网络安全
1

来自Ubuntu
CVE-2024-6387 | Ubuntu

Mitigation

Set LoginGraceTime to 0 in /etc/ssh/sshd_config. This makes sshd vulnerable to a denial of service (the exhaustion of all MaxStartups connections), but it makes it safe from this vulnerability.

翻译

在 /etc/ssh/sshd_config 中将 LoginGraceTime 设置为 0。这使得 sshd 容易受到拒绝服务(所有 MaxStartups 连接耗尽)的影响,但它使其免受此漏洞的影响。

能更新还是抓紧更新,后续更新完了也要记得改回去

1 个赞
2

这玩意整个IP白名单不能防吗

3

已经更新了,话说不知道 fail2ban 有没有用 :face_in_clouds:

4

理论应该可以,直接拦住不给ssh握手的机会,就怕有时候一下子没注意漏掉了

5

公钥登录影响不

6

我的是8.4 应该没影响吧

7

自己的服务器就是爽,随便更新,debian12已经修复了

https://security-tracker.debian.org/tracker/CVE-2024-6387

image
image1220×780 43.5 KB

$ ssh -V
OpenSSH_9.2p1 Debian-2+deb12u3, OpenSSL 3.0.13
8

关闭密码登录似乎不受影响,不过最好还是更新一下

9

感谢!!

10

只要版本是OpenSSH_9.2p1 Debian-2+deb12u3,应该就是已经fixed了吧?不用编译到9.8最新的版本?

11

服务器上已安装 fail2ban ,会被拦截

1 个赞
12

是的

13

感谢大佬

14

那倒还好,感谢测试 :blush: