Se usó la API de Cloud Translation para traducir esta página.

Boletines de seguridad

Periódicamente, es posible que publiquemos boletines de seguridad relacionados con la solución Bare Metal. Todos los boletines de seguridad de la solución Bare Metal que se describe aquí.

Usa este feed XML para suscribirte a los boletines de seguridad de esta página.

GCP-2024-040

Fecha de publicación: 2/7/2024

Descripción	Gravedad	Notas
Se descubrió una vulnerabilidad CVE-2024-6387 en el servidor OpenSSH (sshd). Esta vulnerabilidad se puede aprovechar de forma remota en sistemas Linux basados en glibc: una ejecución de código remota no autenticada como root, ya que afecta el código con privilegios de sshd, que no está en zona de pruebas y se ejecuta con privilegios completos. Al momento de la publicación, se cree que la explotación era difícil, ganar una condición de carrera, que es difícil de explotar con éxito y puede pueden demorar varias horas por cada máquina atacada. Impacto de la solución Bare Metal Según nuestras investigaciones, no estamos al tanto de ningún intento de explotación en la infraestructura existente de la solución Bare Metal administrada por Google. ¿Qué debo hacer? Te recomendamos que actualices a la versión segura de OpenSSH 9.8p1 una vez que se lance o que apliques los parches de sshd una vez que los proveedores del SO los proporcionen. También recomendamos inhabilitar o quitar el servidor OpenSSH vulnerable donde no sea necesario. Configura reglas de firewall para restringir el acceso a los servidores SSH desde extremos de red de confianza. Supervisa cualquier actividad de red inusual que involucre servidores SSH.	Crítico	CVE-2024-6387

Descripción

Gravedad

Notas

Se descubrió una vulnerabilidad CVE-2024-6387 en el servidor OpenSSH (sshd). Esta vulnerabilidad se puede aprovechar de forma remota en sistemas Linux basados en glibc: una ejecución de código remota no autenticada como root, ya que afecta el código con privilegios de sshd, que no está en zona de pruebas y se ejecuta con privilegios completos.

Al momento de la publicación, se cree que la explotación era difícil, ganar una condición de carrera, que es difícil de explotar con éxito y puede pueden demorar varias horas por cada máquina atacada.

Impacto de la solución Bare Metal

Según nuestras investigaciones, no estamos al tanto de ningún intento de explotación en la infraestructura existente de la solución Bare Metal administrada por Google.

¿Qué debo hacer?

Te recomendamos que actualices a la versión segura de OpenSSH 9.8p1 una vez que se lance o que apliques los parches de sshd una vez que los proveedores del SO los proporcionen.
También recomendamos inhabilitar o quitar el servidor OpenSSH vulnerable donde no sea necesario.
Configura reglas de firewall para restringir el acceso a los servidores SSH desde extremos de red de confianza.
Supervisa cualquier actividad de red inusual que involucre servidores SSH.

Crítico

CVE-2024-6387