背景
漏洞详情:
OpenSSH 是 Secure Shell(SSH)协议的免费实现,主要用于安全地远程登录和执行命令,提供了加密的通信通道,以防止敏感信息在网络上被窃听或篡改。
据官方描述,在 OpenSSH 服务器中的信号处理程序中存在条件竞争漏洞,未经身份验证的远程攻击者可利用该漏洞在基于 glibc 的 Linux 系统上以 root 身份执行任意代码。
2024 年 7 月 1 日, OpenSSH 官方发布安全通告,披露 CVE-2024-6387 OpenSSH Server 远程代码执行漏洞。
影响范围:
OpenSSH < 4.4p1(未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁)8.5p1 <= OpenSSH < 9.8p1
安全建议:
官方已发布修复方案,受影响的用户建议更新至安全版本。
下载链接:https://www.openssh.com/releasenotes.html
升级Openssh到9.8p1
1.1 查看当前版本
[root@]# ssh -V OpenSSH_8.8p1, OpenSSL 1.0.2k-fips 26 Jan 2017
1.2 安装编译所需的工具包
yum -y install gcc pam-devel rpm-build zlib-devel perl-Test-Simple
1.3安装openssl (要求>= 1.1.1 )
下载openssl: openssl-1.1.1w.tar.gz 地址:https://www.openssl.org/source/old/1.1.1/index.html ①备份当前openssl [root@]# find / -name openssl /usr/bin/openssl /usr/lib64/openssl #cp -r /usr/lib64/openssl /usr/lib64/openssl.bak #cp /usr/bin/openssl /usr/bin/openssl.bak ②卸载当前openssl yum remove openssl ③安装openssl tar -xzvf openssl-1.1.1w.tar.gz cd openssl-1.1.1w/ ./config --prefix=/usr make make test #执行这一步结果为pass继续 make install
1.4查看升级后的openssl版本
[root@]# openssl version OpenSSL 1.1.1w 11 Sep 2023
1.5安装openssh 9.8p1
下载最新的openssh版本,并上传到服务器。
地址:https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
①备份原ssh系统相关配置文件 cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak cp /etc/pam.d/sshd /etc/pam.d/sshd.bak cp /usr/bin/ssh /usr/bin/sshbak cp /usr/sbin/sshd /usr/sbin/sshdbak ②卸载原来的openssh rpm -e --nodeps `rpm -qa | grep openssh` rpm -qa | grep openssh ③安装新openssh tar -zxvf openssh-9.8p1.tar.gz cd openssh-9.8p1 ./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check --with-pam --with-ssl-dir=/usr/local/ssl make && make install ④调整文件权限 chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key ⑤再次执行make install [root@ ~/openssh-9.8p1]# ssh -V OpenSSH_9.8p1, OpenSSL 1.1.1w 11 Sep 2023 至此 openssh升级完成 ⑥安装新修改ssh的配置文件,并重启 拷贝新生成的sshd cp -a /data/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/sshd(根据文件实际存储路径选择) chmod u+x /etc/init.d/sshd ⑦回拷备份配置文件 cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config cp /etc/pam.d/sshd.bak /etc/pam.d/sshd ⑧vi /etc/ssh/sshd_config添加如下内容: Ciphers aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha1 KexAlgorithms diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256 PermitRootLogin yes PasswordAuthentication yes UsePAM yes ⑨添加ssh到开机启动项,重启sshd服务 chkconfig --add sshd chkconfig sshd on systemctl restart sshd [root@]# ssh -V taOpenSSH_9.8p1, OpenSSL 1.1.1w 11 Sep 2023
本文转载自: https://blog.csdn.net/m0_55928215/article/details/140945538
版权归原作者 鱼頭 所有, 如有侵权,请联系我们删除。
版权归原作者 鱼頭 所有, 如有侵权,请联系我们删除。