Mit CVE-2024-6387 wurde eine RCE-Schwachstelle im OpenSSH-Dienst entdeckt. Dies betrifft alle Appliances mit der Version 24.3 Hotfix 1 oder älter.
Mit dem neuesten Mindbreeze InSpire 24.3 Hotfix 2 Release beheben wir die Schwachstelle, indem wir die LoginGraceTime Einstellung von OpenSSH deaktivieren und somit die Nutzung dieser Schwachstelle verhindern.
Wir erwarten, dass ein Upstream-Patch zum Mindbreeze InSpire 24.5 Release verfügbar sein wird.
Für ältere Mindbreeze InSpire Installationen kann die Einstellung mit den folgenden Schritten implementiert werden.
Die folgenden Schritte sollten auf allen Member Nodes eines Mindbreeze InSpire-Clusters durchgeführt werden:
3.) Starten Sie den OpenSSH-Dienst neu, damit die Einstellung wirksam wird:
Bei korrektem Einsatz sollte der folgende Befehl ausgegeben werden: logingracetime 0
sshd -T | grep -i LoginGraceTime