...
La vulnerabilidad se resuelve en openssh-8.7p1-38.el9_4.1. Fuente: https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression
Distribuciones Linux
Las distribuciones Linux (que no sean Ubuntu) con el paquete OpenSSH son vulnerables las siguientes versiones;
| Advertencia | ||
|---|---|---|
| ||
Son vulnerables desde la versión 8.5p1 (vulnerable) hasta la versión anterior a la 9.7p1 (no vulnerable) No son vulnerables de la versión 9.7p1 (incluida) en adelante. |
Distribuciones basadas en OpenBSD
Por otras medidas presentes en el sistema operativo OpenBSD el software OpenSSH de estos equipos no está afectado, en cualquier versión.
MacOs Sonoma (v14)
En el momento de escribir estas líneas, Apple no ha incorporado la resolución de la vulnerabilidad en las últimas actualizaciones. https://forums.developer.apple.com/forums/thread/758595
Se podrá comprobar si la vulnerabilidad está corregida en la página de la documentación de actualizaciones, buscando el CVE CVE-2024-6387. https://support.apple.com/en-us/HT214106
Mientras el sistema no disponga de la vulnerabilidad, se recomienda deshabilitar el servicio SSH en el MacOs; Guía; https://pimylifeup.com/mac-enable-ssh/
POSIBLE ALTERNATIVA; desinstalar el paquete openssh "oficial" distribuido con macos e instalar a través de un gestor de paquetes de terceros (homebrew, scoop,...) una versión corregida de OpenSSH.
¡NOTA! En algunos foros se dice que la vulnerabilidad no afecta a MacOs. En realidad no está claro, los expertos de seguridad que descubrieron la vulnerabilidad se centraron en sistemas linux de 32 bits. Hará falta una investigación detallada tanto para descartar como para confirmar si afecta a Mac o no. En estos momentos no he encontrado ningún análisis serio de este asunto.
Cómo comprobar si mi sistema está afectado
...
Para los sistemas que no se pueden actualizar existe una medida de mitigación, véase más abajoel apartado de mitigación en esta misma página.
Medidas de mitigación
Fuente; https://ubuntu.com/security/CVE-2024-6387
...