【Azure App Service】在App Service上关于OpenSSH的CVE2024-6387漏洞解答

问题描述

当 OpenSSH 的版本低于 9.8p1，有漏洞风险： 

A security regression (CVE-2006-5051) was discovered in OpenSSH's server (sshd). There is a race condition which can lead sshd to handle some signals in an unsafe manner. An unauthenticated, remote attacker may be able to trigger it by failing to authenticate within a set time period.

而在App Service中，查看OpenSSH版本为：

 

问题解答

CVE2024-6387 是远程访问漏洞，攻击者通过不安全的OpenSSh版本可以进行远程代码执行。CVE-2024-6387漏洞攻击仅应用于OpenSSH服务器，而App Service Runtime中并未使用OpenSSH，不会被远程方式攻击，所以OpenSSH并不会对应用造成安全风险。同时，如果App Service的系统为Windows，不会受远程漏洞影响！

此外：App Service 中使用的OpenSSH无法通过客户端进行升级更新。它由GIT打包，会在更新GIT的过程中，随之更新。

 

参考文档

Kudu中OpenSSL源码可参考：https://github.com/apache/kudu/blob/master/src/kudu/util/openssl_util.h