漏洞背景

OpenSSH 是一套用于安全网络通信的工具，提供了包括远程登录、远程执行命令、文件传输等功能。2024 年 7 月 1 日，OpenSSH 官方发布安全通告，披露 CVE-2024-6387 OpenSSHServer 远程代码执行漏洞。

漏洞描述

在 OpenSSH 服务器的信号处理程序中存在条件竞争漏洞，未经身份验证的远程攻击者可利用该漏洞在基于 glibc 的 Linux 系统上以 root 身份执行任意代码。

漏洞编号

CVE-2024-6387

影响范围

OpenSSH < 4.4p1（未更新历史漏洞 CVE-2006-5051、CVE-2008-4109 的补丁）8.5p1 <= OpenSSH < 9.8p1

漏洞危害

严重

安全建议

官方已发布修复方案，受影响的用户建议更新至安全版本。

下载链接：https://www.openssh.com/releasenotes.html