Arista Networks は、OpenSSH のセキュリティ脆弱性 CVE-2024-6387 (regreSSHion と呼ばれる) に対応するために、このセキュリティ更新情報を提供しています。※7/19追記、8/2追記

この脆弱性は、シグナル ハンドラーの競合状態に関連しており、完全なルート アクセスを許可する glibc ベースの Linux システムで OpenSSH のサーバー (sshd) で認証されていないリモート コード実行が発生する可能性があります。 この脆弱性はデフォルト構成に影響し、ユーザーの操作を必要としないため、重大な悪用リスクがあります。

影響を受ける機器およびバージョン

Arista 製品セキュリティ インシデント対応チームは、この問題に対する当社製品スイートの脆弱性を認識しており、緊急に調査を行っています。現在影響を受ける製品のリストは以下に記載されており、Arista は評価が進むにつれてこのアドバイザリを更新し、情報を反映させる予定です

WI-FI アクセスポイントに適用されているファームウェア・バージョン

• 17.0 から始まるすべてのバージョン
• 16.1 から始まるすべてのバージョン
• 16.0 から始まるすべてのバージョン、これ以下も同様

Arista Wi-Fi アクセスポイント

• すべてのAPモデル

以下の製品は CVE-2024-6387 の影響を受けません

• CloudVision CUE, virtual appliance or physical appliance
• CloudVision CUE cloud service delivery
• CloudVision AGNI
• CloudVision Portal, virtual appliance or physical appliance
• CloudVision as-a-Service

なお、当社で販売予定であるか、販売したことの無いArista製品は、上のリストから除外していますので、すべてのリストをご覧になりたい場合は、このページの一番下にあるソースURLにアクセスして下さい。

この記事のソースURLはこちら： https://www.arista.com/en/support/advisories-notices/security-advisory/19904-security-advisory-0100

APへの回避策

脆弱性CVE-2024-6387へのパッチを行う対策バージョン 17.0.0-241 が、間もなく8月3日にリリースされます。

Arista Wi-Fi AP/センサーのバージョン 17.0.0-241 のアップグレード バンドルは、2024 年 8 月 3 日に利用可能になります。

17.0 の AP/センサーの最新ファームウェア アップグレード機能が有効な場合は、2024 年 8 月 5 日から 8 月 9 日まで、CloudVision Wi-Fi または Wireless Manager のロケーション フォルダーで設定されたタイム ゾーンで午後 11 時から午前 3 時の間に予定されています。

ファームウェア アップグレードが開始されると、各 AP は高速ブロードバンドのインターネット回線経由で約 10 分間かかります。この時間は、インターネット回線の帯域幅とその接続を共有するデバイスの数によって異なる場合があります。多数のデバイスが同じインターネット接続で同時にアップグレードする場合、アップグレードが完了するまでに通常よりも時間がかかることがあります。また、アップグレード・オプションでヒットレス・アップグレードを有効化している場合、付近にあるAPが相互にクライアントの接続を肩代わりするよう、順番にアップグレードされます。

なお、すでに当社に連絡して AP ファームウェア アップグレードの自主管理を選択（オプトアウト）している場合、このスケジュールはクラウド アカウントには適用されません。

このホットフィックスには、次の問題の修正が含まれています:

• OpenSSH を最新バージョン 9.8p1 にアップグレードして、CVE-2024-6387 の脆弱性を修正します。
• 非表示の SSID を持つワイヤレス プロファイルは、ローミング情報の共有に使用される RF ネイバー リストでは考慮されないようになります。

APへの回避策２

Mojo Networks時代からある古いAP向けの最終バージョンのための対応パッチがリリースされました。（新しいAPにもこのパッチで対応は可能）

現在CV-CUEでサポートされているAPモデルのうち、C-100、C-110、C-120、C-130の最終リリースバージョンは、13.0.2-28-vv1101 でしたが、OpenSSH ver9.8p1 へのホットフィックスとしてのバージョンとして、13.0.2-28-vv1302がリリースされました。

該当モデル： C-100、C-110、C-120、C-130 において、最新ファームウェアの自動更新を行っているお客様の場合は、既にOpenSSHの脆弱性パッチは更新済みの筈です。CV-CUE上でモニター ＞ AP一覧を表示して、ファームウェアのバージョンを確認してみて下さい。

上記以外の現行APモデル　C200、C230、C250、C260、C330、C360 においても、同様に 少し古いバージョンになるものの、13.0.2-28-vv1302を利用することができます。

---

APへの回避策３

この回避策は、脆弱性パッチ対応ファームへのバージョン16で使用したいお客様向けに用意された物です。原則、殆どのお客様は最新バージョン17またはそれ以降をご利用いただきたいと思いますが、バージョン16のままそれ以上更新せずに、利用したいAPがある場合は、

16.1.0-51-vv1004 が利用可能

このバージョンにおけるOpenSSH バージョンは 9.8p1 であることが確認できております。

---

APへの回避策４

この回避策は、脆弱性パッチ対応ファームへのバージョンを更新せずに、CV-CUE でホワイトリストを定義して、AP への SSH アクセスを制限する方法です。

[構成] –> [デバイス] –> [アクセスポイント] –> [全般的] –> [SSH IP 許可リストの有効化]

ここで指定するワイルドカードマスクは、サブネットマスクとは逆になりますので、ご注意下さい。

ワイルドカードマスクは32ビットの数値で1オクテットごとにドット( . )で区切り10進数表記で、「0」または「１～255」の範囲で、かつ次のルールで記述します。

　1.　ワイルドカードマスクの「0」は、指定したIPアドレスのビットをチェック (合致確認) することを示す。
　2.　ワイルドカードマスクの「1～255」は、指定したIPアドレスのビットをチェックしない、かつビットのサブネットを範囲で示す。

---

APの対策としては以上になります。