7月1日にOpenSSHの脆弱性(CVE-2024-6387)が報告されたようで、任意コード実行の可能性があるとのこと。使っているソフトウェアに危険性の高い脆弱性が報告されたのすごく久しぶりな気がする。

情報に気付いたのが7月2日だったのでやや対応が遅れてしまったが、piyokangoさんのまとめ記事(OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた)を読んだ感じ、自鯖ではSSHへの短時間・多数の接続について一定時間同一送信元からの通信を拒否するようiptablesで実装してあるので、影響を受ける可能性は低そうだった。

とはいえ他の仕組みに依存した対策はいつ崩壊するかわからない(どこかのタイミングでiptablesのルール変えたら終わる)ので、OpenSSHのアップデートを図る。 が、まだ自鯖のパッケージ管理システムでは修正版が確認できなかったので、LoginGraceTimeの変更による緩和策で対応。DoSの影響を受けてしまうようだが、最悪止まってもそこまで困らない趣味鯖なのでDoSなら許容とした。

後日、無事に修正版へアップデートできる状態になったので、OpenSSHをアップデートしLoginGraceTimeの値をdispatch-confで戻して再起動し、対応完了とした。