漏洞名称
山石网科部分产品受CVE-2024-6387影响
发布时间
2024-08-05
漏洞描述
OpenSSH是一套用于安全网络通信的工具,提供了包括远程登录、远程执行命令、文件传输等功能。
默认配置下的OpenSSH Server (sshd)中存在信号处理程序竞争条件漏洞,如果客户端未在LoginGraceTime 秒内(默认情况下为120秒,旧版OpenSSH中为 600秒)进行身份验证,则sshd的SIGALRM处理程序将被异步调用,但该信号处理程序会调用各种非async-signal-safe的函数(例如syslog()),攻击者可利用该漏洞在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。
漏洞编号:HSVD-2024-0019
第三方编号:CVE-2024-6387
漏洞级别
高危
漏洞来源
外部披露
影响和修复
受影响版本及修复版本:
| 产品 | 受影响版本 | 修复版本 |
| HSM | 4.13及以上版本 | 4.19.6 |
| HSA | 2.19.x版本 | 2.20.0 |
| 云池 | 1.2以上版本 | 1.5.2 |
| 云集 | 1.3B12以上版本 | 1.3B16.1 |
修补及防护方案
通过升级版本修复。
联系我们
针对此漏洞问题及详细解决方案,可以联系山石网科技术支持热线电话400-828-6655及专业化服务人员、售前技术人员。
反馈山石网科产品和解决方案安全问题,请反馈至山石PSIRT邮箱PSIRT@hillstonenet.com,山石网科尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并遵守相关法律法规处理产品安全问题。
山石网科,为您的安全竭尽全力!
