2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this vulnerability is CVE-2024-6387. The vulnerability, which is a signal handler race condition in OpenSSH’s server (sshd), allows unauthenticated remote code execution (RCE) as root on glibc-based Linux systems;
オープンソースAI(Open Source AI)とは、オープンソースの状態にあるAIシステムのことである。これはある意味で自明なのではあるが、「オープンソースの定義」(OSD)を管理している米国の非営利団体Open Source Initiative(OSI)では、2023年からわざわざ新たに「オープンソースAIの定義」(OSAID: Open Source AI Definition)の策定を開始している。2024年の8月頃には定義のRC版が公開される見込みであるが、本稿ではこの新たな定義が何故必要になり、その定義がどのような機能するものであるかということに対し、主に佐渡が視点から時系列的に簡単に紹介していく。これによって日本国内においてOSAIDが認知され、AI開発コミュニティにおいて自由かつ透明性が確保されたシステムの必要性への理解が深まる一助となることを期待する。 OSIにおける
OpenSSH の脆弱性について
こんにちは、クラウドエースの SRE チームに所属している妹尾です。 今回は OpenSSH の脆弱性についての記事です。 (この記事は 7/4 に速報版から正式版へ更新しました) 2024/07/02 に、CVE-2024-6387が発表されました。 これは放置しておくと SSH を受け付ける全てのサーバーを乗っ取る事ができてしまう脆弱性です。 厄介なことにデフォルト設定の SSH-Server と、ある程度の時間があればサーバーを乗っ取れてしまうので、緊急度もかなり高めになっております。 そして Compute Engine もこの影響を受ける ので、多くの環境で対策が必要となります。 結局どうすればいいの Google が公表している、 GCP-2024-040 の手順に従いましょう。 (日本語訳ページだとまだ公表されてないようですので、英語版を見てください) 具体的には、以下のよう
【重要】OpenSSHに含まれる脆弱性(CVE-2024-6387)について(2024年7月4日 17:30更新) | さくらインターネット
お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2024年7月1日(月)、OpenSSHに対して重大かつ緊急性の高いセキュリティ脆弱性(CVE-2024-6387)が発表されました。 弊社提供中の下記サービスのOSにおいて、対象となるバージョンのOpenSSHがインストールされている場合がございます。 お客様におかれましてはご利用のOpenSSHのバージョンをご確認いただき、不正に利用されないよう対策をお願いいたします。対策の一例として詳細情報を下記にご案内いたしますのでご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 対象サービス さくらのクラウド さくらのVPS さくらの専用サーバ さくらの専用サーバ 高火力シリーズ さくらの
2024年もいつの間にか半分が過ぎました。夏越の祓も終わり、なぜか既に始まっている気もする本格的な夏に向けて心機一転気合を入れる時期です。 今回は、研修期間が終わった途端にもう誰がメンテナンスしているかもわからなくなった古いサーバーのリプレースを依頼された不幸な新社会人に向けて、改めてUbuntuサーバーの初歩的なインストール方法について紹介します。 ちなみにUbuntuデスクトップや基本的な部分については、第811回「ゴールデンウィーク特別企画 新学生・新社会人向けのUbuntuデスクトップ講座2024」を参照してください。 図1 Ubuntuサーバーのインストール画面 Ubuntuサーバーとは まず最初にUbuntuサーバーに関する一般的な話をしましょう。「とりあえずUbuntuのインストール方法がわかれば良い」のであれば、「Ubuntuサーバーのインストール手順」まで読み飛ばして
Linux Daily Topics OpenSSHにリモートコード実行の脆弱性、約20年ぶりの“回帰バグ”が発生 セキュリティソリューションベンダのQualysは7月1日(米国時間)、OpenSSHサーバ(sshd)に認証されていないリモートコード実行(RCE)につながる重大な脆弱性「regreSSHion」(CVE-2024-6387)を発見したことを明らかにした。 この脆弱性はOpenSSHサーバのシグナルハンドラ競合状態で、glibcベースのLinuxシステムでrootとして認証されていない任意のリモートコードが実行されるおそれがあり、悪用された場合、システムが完全に攻撃者に乗っ取られ、マルウェアのインストールやデータの操作、永続的なアクセスのためのバックドア作成などを実行される可能性がある。OpenSSHはすでに修正バージョン「OpenSSH 9.8」をリリースしており
OpenSSHの脆弱性(regreSSHion: CVE-2024-6387)と9.8リリース - SIOS SECURITY BLOG
07/01/2024にOpenSSHの脆弱性(regreSSHion: CVE-2024-6387)が公開され、OpenSSH 9.8がリリースされました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 [過去関連リンク(最新5件)] 【悪用に条件あり】OpenSSH(ssh-agent)のリモートコード実行の脆弱性(Important: CVE-2023-38408)とOpenSSH 9.3p2 OpenSSHの脆弱性(CVE-2023-28531)と新バージョン(OpenSSH 9.3) OpenSSHの脆弱性(CVE-2023-25136) OpenSSHのssh-agentの脆弱性情報(CVE-2021-28041)と新バージョン(OpenSSH 8.5)のリリース OpenSSHの脆弱性情報(Important: CVE-2021-41617)と、
【書きかけ】Positron最速入門
この記事は、7月13日に開催されるTokyo.Rで発表するためのメモ用に書き溜めているものです。主に R ユーザー向けの情報をまとめていますが、 Positron 自体は Python も R もサポートしています(むしろ、説明の順序も Python の方が先に書かれていることが多いのを見るに、Python の方が優先されてそう)。 はじめに まず強調しておきたいのは、現時点で、カタギの人間が Positron に入門する必要はないです。詳しくはあとで見ていきますが、重要なポイントとして、 Positron はまだ絶賛開発中という段階で、安定して使えるようになるのはだいぶ先 たとえ Positron が正式リリースされても RStudio は残る というのが今の状況です。なので、RStudio をメインで使っている人は、数年は迷わずRStudioを使い続けて大丈夫です。いま慌てて入門する必
インターネット接続機能を備えたスマートTVでは、YouTubeなどの動画ストリーミングサービスを利用したり写真アルバムを閲覧したりできます。ソフトウェアエンジニアのCarl氏は「ノートPCをテレビの裏側に固定する」という力技でスマートTVの自作に成功しました。 Creating My Own Linux-Based Smart TV https://carltheperson.com/posts/earlgreytv/ Carl氏が自作したスマートTVが以下。画面上にはYouTubeやNetflixなどの動画ストリーミングサービスのアイコンのほかに、ニュース共有サイトのHacker Newsにアクセスできるアイコンなどが並んでいます。テレビ本体はSamsung製のスマートTVですが、内蔵のスマートTV機能は使っておらず、Carl氏が自作したスマートTVシステムの画面が表示されています。なお
Announcing wcurl: a curl wrapper to download files | Samuel Henrique (samueloph)
tl;dr Whenever you need to download files through the terminal and don't feel like using wget: wcurl example.com/filename.txt Manpage: https://manpages.debian.org/unstable/curl/wcurl.1.en.html Availability (comes installed with the curl package): Debian unstable - Since 2024-07-02 Debian testing - Coming up between the second and third week of July 2024. Debian 12/bookworm backports - As soon as t
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
オープンソースAIとは何か? – Open Source AI Definition策定経緯とドラフト版概説
第820回 改めてUbuntuに入門したい人向けのUbuntuサーバー講座2024 | gihyo.jp
OpenSSHにリモートコード実行の脆弱性、約20年ぶりの“回帰バグ”が発生 | gihyo.jp
自作スマートTVを「テレビの背面にノートPCを固定する」という力技で実現