問題描述
當 OpenSSH 的版本低於 9.8p1,有漏洞風險:
A security regression (CVE-2006-5051) was discovered in OpenSSH's server (sshd). There is a race condition which can lead sshd to handle some signals in an unsafe manner. An unauthenticated, remote attacker may be able to trigger it by failing to authenticate within a set time period.
而在App Service中,檢視OpenSSH版本為:
問題解答
CVE2024-6387 是遠端訪問漏洞,攻擊者透過不安全的OpenSSh版本可以進行遠端程式碼執行。CVE-2024-6387漏洞攻擊僅應用於OpenSSH伺服器,而App Service Runtime中並未使用OpenSSH,不會被遠端方式攻擊,所以OpenSSH並不會對應用造成安全風險。同時,如果App Service的系統為Windows,不會受遠端漏洞影響!
此外:App Service 中使用的OpenSSH無法透過客戶端進行升級更新。它由GIT打包,會在更新GIT的過程中,隨之更新。
參考文件
Kudu中OpenSSL原始碼可參考:https://github.com/apache/kudu/blob/master/src/kudu/util/openssl_util.h