安全性公告
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
以下說明與 Google Migrate to Virtual Machines 5.0 相關的所有安全性公告。
如要接收最新的安全性公告,請執行下列任一操作:
- 將本頁面的網址加入動態饋給閱讀器。
- 直接將動態消息網址新增至動態消息閱讀器:
https://cloud.google.com/migrate-to-virtual-machines-security-bulletins.xml
GCP-2024-040
發布日期:2024-07-10
| 說明 |
嚴重性 |
附註 |
Migrate Connector 是用於將 VMware 來源連結至 Migrate to Virtual Machines 的虛擬設備,但它會暴露 OpenSSH Daemon(SSHD) 的安全性漏洞 (CVE-2024-6387)。
該怎麼辦?
為緩解這個問題,我們已發布 Migrate Connector 2.6.2497 版,並正在逐步推出。如要套用這項設定,請前往 Google Cloud 控制台的「Migrate to Virtual Machines」(遷移至虛擬機器) 頁面。來源裝置有可用的更新時,您會看到橫幅,上面顯示「您的來源有可用的更新」。核准更新,以便在 Migrate Connector 上啟動版本更新。
詳情請參閱「修改 Migrate 連接器設定」。
如要立即降低風險,請使用下列任一選項:
- 登入 Migrate Connector,然後執行下列指令:
sudo sed -i 's/#LoginGraceTime 2m/LoginGraceTime 0/g' /etc/ssh/sshd_config
或
手動編輯 /etc/ssh/sshd_config,取消註解 LoginGraceTime 的項目,並將其值設為 0。
- 執行下列指令重新啟動 SSHD:
sudo systemctl restart ssh
解決了哪些安全漏洞?
我們最近在 OpenSSH 中發現一個遠端程式碼執行漏洞 CVE-2024-6387。這個安全漏洞會利用競爭狀態,取得遠端殼層的存取權,讓攻擊者取得 root 存取權。在本公告發布時,我們認為這項漏洞難以遭到濫用,且每台遭到攻擊的機器都需要花費數小時才能攻破。我們並未發現任何濫用行為。
|
重大 |
CVE-2024-6387 |
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-07-11 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-07-11 (世界標準時間)。"],[],[]]
