OpenSSH の脆弱性: CVE-2023-48795

Products

VMware vCenter Server VMware Integrated OpenStack

Issue/Introduction

免責事項：これは英文の記事「OpenSSH vulnerability CVE-2023-48795」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

セキュリティスキャンはアプライアンス上の OpenSSH の脆弱性 CVE-2023-48795 を報告します。

Environment

VMware vCenter Server 7.0/8.0
VIO 7.x
Photon OS 3.0/4.0

Cause

OpenSSH ではこの脆弱性が特定されています: CVE-2023-48795 の詳細

Resolution

この脆弱性を軽減するには、以下の手順に従ってください。

SSH を使用して Photon OS ホスト (vCenter など) にログインします。
既存の ciphers、macs および kexalgorithms のリストを取得します。
sshd 設定ファイルのバックアップを取得します -- cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bkp
vi エディタを使用して設定ファイルを開きます -- vi /etc/ssh/sshd_config
ciphers、macs および kexalgorithms がある行に移動します。
行から以下のエントリを削除します。

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
ファイルを保存します。
sshd サービスを再起動します -- systemctl restart sshd
sshd -T | grep -i "ciphers\|macs\|kexalgorithms" の出力結果には削除された ciphers と hams が存在しない想定です。

SSHD サービスの再起動に失敗した場合は、バックアップファイルと変更されたファイルでタイプミスの可能性がないか確認してください。

Additional Information

例：

修正前:

既存の ciphers、macs および kexalgorithms。

root [ ~ ]# sshd -T | grep -i "ciphers\|macs\|kexalgorithms"
ciphers aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
macs hmac-sha2-256,hmac-sha2-512,[email protected],[email protected]
kexalgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256

SSH ファイルの内容: (ここでは影響を受ける macs は 2 つのみですが、削除する必要がある他のエントリが見つかった場合は削除してください)

root [ ~ ]# egrep -i "ciphers|macs|kexalgorithms" /etc/ssh/sshd_config
# Ciphers and keying
KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
MACs hmac-sha2-256,hmac-sha2-512,[email protected],[email protected]
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]

修正後:

既存の ciphers、macs および kexalgorithms。

root [ ~ ]# egrep -i "ciphers|macs|kexalgorithms" /etc/ssh/sshd_config
# Ciphers and keying
KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
MACs hmac-sha2-256,hmac-sha2-512
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]

SSH ファイルの内容:

root [ ~ ]# sshd -T | grep -i "ciphers\|macs\|kexalgorithms"
ciphers aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
macs hmac-sha2-256,hmac-sha2-512
kexalgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256