OpenSSH 升级到9.8P1 (CVE-2024-6387 OpenSSH Server 远程代码执行漏洞)
以阿里云服务器Alios为例
漏洞背景
OpenSSH 是一套用于安全网络通信的工具,提供了包括远 程登录、远程执行命令、文件传输等功能。2024 年 7 月 1 日, OpenSSH 官方发布安全通告,披露 CVE-2024-6387 OpenSSH Server 远程代码执行漏洞。
影响范围
OpenSSH < 4.4p1(未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁)8.5p1 <= OpenSSH < 9.8p1
安全建议
官方已发布修复方案,受影响的用户建议更新至安全版 本。下载链接:https://www.openssh.com/releasenotes.html,遗憾的是目前各操作系统的软件源均不支持openssh更新到最新版本,只能手动更新了。幸好更新并不复杂,具体步骤如下:
一、现有环境
[root@localhost /]# ssh -V
OpenSSH\_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
二、安装openssl (要求>= 1.1.1 ,如果没有大于1.1.1就要先编译openssl)
wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1w.tar.gz
卸载原有OpenSSL
yum remove openssl
编译安装openssl
tar -xzvf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w/
./config --prefix=/usr
make && make install
查看openssl版本
\[root@localhost\]# openssl version
OpenSSL 1.1.1w 11 Sep 2023
三、安装openssh 9.8p1
1.下载安装包
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.8.tar.gz
2.解压安装包
tar -zxvf openssh-9.8p1.tar.gz
3.备份配置文件(注意备份文件路径根据实际情况选择,后面会用到)
cp /etc/ssh/sshd\_config /home/ssh/sshd\_config.bak
cp /etc/pam.d/sshd /home/ssh/sshd.bak
4.卸载原来的openssh
rpm -e --nodeps \`rpm -qa | grep openssh\`
rpm -qa openssh
5.编译安装文件
cd /soft/openssh-9.8p1
./configure --prefix=/usr/local/openssh9.8p1 --exec-prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-selinux --with-tcp-wrappers --with-ssl-dir=/usr/local/ssl --without-hardening
6.执行安装编译文件
make && make install
7.安装过程中会出现如下的错误信息是因为缺少文件权限
Permissions 0640 for '/etc/ssh/ssh\_host\_rsa\_key' are too open.
Permissions 0640 for '/etc/ssh/ssh\_host\_ecdsa\_key' are too open.
Permissions 0640 for '/etc/ssh/ssh\_host\_ed25519\_key' are too open.
8.调整文件权限
chmod 600 /etc/ssh/ssh\_host\_rsa\_key /etc/ssh/ssh\_host\_ecdsa\_key /etc/ssh/ssh\_host\_ed25519\_key
9.SSH配置调整
# 拷贝新生成的sshd
cp -a /home/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/sshd(根据文件实际存储路径选择)
chmod u+x /etc/init.d/sshd
10.回拷备份配置文件(同3.备份配置文件路径相反)
cp /home/ssh/sshd\_config.bak /etc/ssh/sshd\_config
cp /home/ssh/sshd.bak /etc/pam.d/sshd
11.添加ssh到开机启动项,重启sshd服务
chkconfig --add sshd
chkconfig sshd on
systemctl restart sshd
12.验证版本
[root@localhost /\]# ssh -V
OpenSSH\_9.8p1, OpenSSL 1.1.1w 11 Sep 2023
参考原文地址:https://blog.csdn.net/m0_56923443/article/details/140136722
版权申明
本文系作者 @Tis-FYM 原创发布在Tis-FYI站点。未经许可,禁止转载。
评论