Подвержен ли Bitrixenv CVE-2024-6387 ?

1. Выясняем какая версия ssh установлена

   [root@bitrix ~]# ssh -V
   OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
   

2. На данный момент времени актуальный bitrixenv работает на centos7.9, а там максимальная версия OpenSSH = OpenSSH_7.4p1, как говорится, пронесло.

Если у вас другая ОС - сверяемся с версиями OpenSSH

• OpenSSH ниже 4.4p1 уязвим, если не был установлен патч против CVE-2006-5051 или если не был установлен патч против CVE-2008-4109, который оказался некорректным исправлением для CVE-2006-5051;

• OpenSSH от 4.4p1 до 8.5p1 не уязвимы потому что “#ifdef DO_LOG_SAFE_IN_SIGHAND”, добавленный в функцию sigdie() патчем для CVE-2006-5051, превратил эту небезопасную функцию в безопасный вызов _exit(1));

• OpenSSH от 8.5p1 до 9.8p1 снова уязвимы (потому что “#ifdef DO_LOG_SAFE_IN_SIGHAND” был случайно удален из функции sigdie()).

p.s. В любом случае лишний повод обновиться.

p.p.s. PoC можно найти тут