クラウドセキュリティを提供する米Qualysは、2024年7月1日(米国時間)、glibcベースのLinuxシステムにおけるOpenSSH(sshd)に、リモートから任意のコードを実行される(RCE)脆弱性を発見したことを公表した。脆弱性のCVEは「CVE-2024-6387」となる。
OpenSSHは、UNIX/Linuxでセキュアな通信を確立するためのソフトウェア。OpenSSHの開発チームは、同日、脆弱性を修正したバージョンを公開している。
Qualysによると、同脆弱性は2006年に報告された「CVE-2006-5051」のリグレッション(一度修正された脆弱性が再発すること)だという。OpenSSHのバージョンの4.4p1以前、もしくは8.5p1から9.7p1において影響を受ける。4.4p1以前に関しては、CVE-2006-5051およびCVE-2008-4109のパッチが適用されていれば影響を受けない。
Qualysの調査によると、インターネットに公開されている約70万のインスタンスが脆弱な状態だという。
