OpenSSHの脆弱性「regreSSHion (CVE-2024-6387)」に関し、Appleは現在のところmacOS/iOSでの影響を調査中。

　OpenSSHの脆弱性「regreSSHion(CVE-2024-6387)」に関し、Appleは今のところ影響を調査中との回答しているそうです。詳細は以下から。

　アメリカのセキュリティ会社QualysのThreat Research Unitは現地時間2024年07月01日、glibc-based Linuxシステムで利用されているOpenSSH v8.5p1から、OpenSSH v9.7p1 (sshd)に、リモートから認証なしに任意のコードが実行される可能性のあるRCE脆弱性「CVE-2024-6387 (通称regreSSHion)」が発見されたとして、

The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this vulnerability is CVE-2024-6387.

regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server – Qualys Security Blog

各Linuxディストリビューションを利用する管理者やユーザーにOpenSSH v9.8p1以降へのアップデートを求めていますが、macOSやiOS、Windowsでもリモートマネージメント機能などにOpenSSHが採用されているため、Qualysは、これらのプラットフォームでもregreSSHion脆弱性の影響を受ける可能性があるとコメントしていますが、

OpenSSH 9.6p1@macOS 14.5 Sonoma

この脆弱性に関し、Jamfユーザーの scottlepさんがAppleのエンタープライズ向けサポートのチケットをを利用し質問したところ、Appleは以下の通り、この脆弱性に関してmacOS/iOSで調査が行われ必要なパッチが提供されるまで、セキュリティ上の問題をディスクローズすることはなく、いつ解決されるかも答えられないとテンプレートで回答してきたそうです。

Thanks for reaching out to AppleCare Enterprise Support Engineering for assistance today. I understand that you have questions about CVE-2024-6387 and if it affects macOS/iOS.
To protect our customers, Apple does not disclose, discuss or confirm security issues until a full investigation has occurred and any necessary patches or releases are available. Because of that, I cannot say how and when a resolution will be delivered.

CVE-2024-6387 – Openssh vulnerability – Jamf Nation Community

　ただ、AppleもOpenSSH関連の脆弱性に関しては早い段階でパッチを提供しているため、現在Beta版が公開されている「macOS 14.6 Sonoma」などでパッチが適用される可能性が高いと予想されているので、それまで心配な方は自身でOpenSSHをアップデートするか、リモートログイン機能などをOFFにしておくことをお勧めします。

About the security content of macOS Sonoma 14.4より

macOSとOpenSSHのバージョン

• apple-oss-distributions/OpenSSH – GitHub
• CVE-2024-6387 – Openssh vulnerability – Jamf Nation Community
• CVE-2024-6387 (RegreSSHion) SSH Vulnerability – Apple Developer Forums