SUSE Linux openssh漏洞修复笔记

最新推荐文章于 2024-03-05 11:00:15 发布
置顶 最新推荐文章于 2024-03-05 11:00:15 发布
阅读量1w 收藏 3
点赞数 2
分类专栏: 服务器linux 文章标签: 漏洞 linux openssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maobois/article/details/51828827
版权

OpenSSH roaming_common.c 堆缓冲区溢出漏洞

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统关机、重新启动等后果。
Openssh MaxAuthTries 限制绕过漏洞(CVE-2015-5600)

OpenSSH sshd mm_answer_pam_free_ctx 释放后重利 用漏洞(CVE-2015-6564)

OpenSSH ‘x11_open_helper()’函数安全限制绕过漏洞 (CVE-2015-5352)

以上漏洞均来自 openssh 升级openssh服务

注意事项,openssh为远程连接服务,若处理不好可能导致连接不上主机,所以先搭建Telnet连接。

操作系统信息
SUSE Linux
现有ssh版本
tfw:/tmp/dropbear # ssh -V
OpenSSH_6.6p1, OpenSSL 0.9.8j-fips 07 Jan 2009

tfw:/tmp/dropbear # rpm -qa |grep openssl
openssl-certs-0.9.8h-27.3.1
openssl-0.9.8j-0.26.1
libopenssl0_9_8-0.9.8j-0.26.1
libopenssl0_9_8-32bit-0.9.8j-0.26.1
libopenssl1_0_0-32bit-1.0.0c-17.1
libopenssl1_0_0-1.0.0c-17.1

搭建Telnet放行23端口 参考这篇blog

升级过程详见OpenSuse Linux11升级Openssh6.7笔记
百度文库

注意事项
升级后默认root不允许登录。需要修改配置文件允许root登录
允许root登录
vi /etc/ssh/sshd_config
将PermitRootLogin值改yes

centos下升级
参考此篇

下载http://www.openssh.com/portable.html

有网络情况下
1、tar zxvf openssh-7.1p1.tar.gz
cd openssh-7.1
./configure –prefix=/usr/local/openssh –sysconfdir=/etc/ssh

知识点:
./configure –prefix=/usr/local/openssh –sysconfdir=/etc/ssh

–sysconfdir=DIR read-only single-machine data [PREFIX/etc] /etc配置文件目录
prefix 安装目录

make
make install
2、如果配置时出现如下环境问题:
configure: error: * zlib.h missing - please install first or check config.log *
使用 yum install openssl openssl-devel -y 安装相关依赖包
3、配置成功,可以编译了,如果没有make环境,用如下命令安装一下即可
yum install make automake gcc gcc-c++ gcc-g77 -y
4、上面的方法会覆盖原版本的文件,make install覆盖/etc/ssh下配置文件时可能会报错。这时删掉/etc/ssh下的原配置文件,再make install一次就可以了。
如果使用root远程无法登录,修改/etc/ssh/sshd_config
将 PermitRootLogin 参数改为yes。

完成后检查版本

[root@weixinht openssh-7.3p1]# ssh -V
OpenSSH_7.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

遇到一个问题,刚升级后忘记重启SSHD服务了,修改了配置文件设置PermitRootLogin值改yes。在机房捣鼓了半天!改配置文件尝试了各种办法!
不能偷懒啊!之前应该做备份连接方案的!
很奇怪的是联通云主机上#PermitRootLogin yes 是注释掉的但是也能ROOT登陆!

解决方案:

ssh -V
getenforce 
setenforce  0
getenforce 
vi /etc/sysconfig/selinux 
service  sshd restart

setenforce是Linux的selinux防火墙配置命令 执行setenforce 0 表示关闭selinux防火墙。

setenforce命令是单词set(设置)和enforce(执行)连写,另一个命令getenforce可查看selinux的状态。
setenforce 0 #设置SELinux 成为permissive模式
setenforce 1 设置SELinux 成为enforcing模式

——2016年11月1日19:36:18 add————
今天修复一台比较久的机器时候出现找不到SSH的问题。

ssh -V  提示如下
OpenSSL version mismatch. Built against 1000103f, you have 90802f

强行重新编译后成功。具体参考此篇
升级了zlib后查看版本还是之前的,不知为何
所以编译的时候指定了 忽略zlib版本号。
没有处理pam一块,因为安装的时候实在麻烦,少各种依赖!

升级完后 /etc/ssh/sshd_config 配置文件中全部被注释
手动改为


Port 22
PermitRootLogin yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
PermitEmptyPasswords no

PasswordAuthentication yes
UsePrivilegeSeparation sandbox
Subsystem       sftp    /usr/libexec/openssh/sftp-server

重启命令
/etc/rc.d/init.d/ssh restart

摘要:

补充说明:
如果不想升级ssh,那么只要使用
#./config --prefix=/usr
但是升级完后版全是升上去了,但是sshd -v时,发现sshd显示的还是原来的openssl版本。

#make
#make test
#make install
#openssh version -a
OpenSSL 1.0.1g 7 Apr 2014
built on: Fri May 23 16:56:53 CST 2014
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/ssl"
此时去运行sshd -v 或是重启sshd服务时会提示:
OpenSSL version mismatch. Built against 1000103f, you have 90802f
当现面以上进示时,只能强行重新编译SSH。

升级SSH

备份原来的ssh版本
#mv /etc/ssh /etc/ssh_old
编译
#cd openssh-6.6p1
#./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check --with-openssl-includes=/usr/ --with-md5-passwords --mandir=/usr/share/man 
#make 
#make isntall
#service sshd restart
#sshd -v
OpenSSH_6.6p1, OpenSSL 1.0.1g 7 Apr 2014
usage: sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-c host_cert_file]
            [-E log_file] [-f config_file] [-g login_grace_time]
            [-h host_key_file] [-k key_gen_time] [-o option] [-p port]
            [-u len]
波子汽水yeah
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SuseLinux11 64位 系统镜像
06-09
SLES-11-SP4-DVD-x86_64-GM-DVD1.iso 已安装成功 suselinux 64位
SUSE Linux下通过RPM方式卸载MySQL 5过程笔记
09-10
主要介绍了SUSE Linux下通过RPM方式卸载MySQL 5过程笔记,本文针对使用rpm方式安装的mysql,需要的朋友可以参考下
openssh漏洞修复方案
最新发布
qq_37867279的博客
03-05 735
镜像下载:https://mirrors.aliyun.com/centos-vault/7.6.1810/isos/x86_64/?**注意:**执行的所有操作必须为root用户。升级前请打开多个窗口,避免升级失败无法连接。**注意:**执行的所有操作必须为root用户。升级前请打开多个窗口,避免升级失败无法连接。重新打开一个升级的终端,输入密码后可以登录则说明升级成功。将下载好的镜像与openssh包进行上传。
SUSE Linux登录出现黑屏解决方法
09-16
登录linux时出现黑屏的找到这篇解决SUSE的黑屏问题
openssh_7.2(x86_64)
11-01
redhat 6.5,openssh_7.2(x86_64),升级,等保,centOS 6.5
SUSE Linux Enterprise 12 SP5安装包ISO镜像
03-15
SUSE Linux Enterprise 12 SP5-Server-DVD-x86_64-GM-DVD1.iso SUSE Linux Enterprise 12 SP5-Server-DVD-x86_64-GM-DVD2.iso Raj Meel宣布了适用于SUSE Linux Enterprise 12的第五个服务包,这是该公司商业,企业级发行版的现有分支机构,已有10多年的长期支持。 SUSE Linux Enterprise 12 Service Pack 5现在普遍可用。此版本合并了自SUSE Linux Enterprise 12 Service Pack 4以来引入的所有修补程序和更新。
dropbear 代替sshd 不用担心openssh漏洞 占用资源少
12-24
dropbear 代替sshd 不用担心openssh漏洞 占用资源少 虚拟主机服务器必备
suse linux 3.0 漏洞,SUSE Linux openssh漏洞修復筆記
weixin_36261449的博客
05-16 342
OpenSSH roaming_common.c 堆緩沖區溢出漏洞緩沖區溢出攻擊是利用緩沖區溢出漏洞所進行的攻擊行動。緩沖區溢出是一種非常普遍、非常危險的漏洞,在各種操作系統、應用軟件中廣泛存在。利用緩沖區溢出攻擊,可以導致程序運行失敗、系統關機、重新啟動等后果。Openssh MaxAuthTries 限制繞過漏洞(CVE-2015-5600)OpenSSH sshd mm_answer_pam...
openssh版本低漏洞更新至最新版本(适合7以下的)
weixin_42590736的博客
05-06 2528
openssh版本低漏洞 OpenSSH 安全限制绕过漏洞(CVE-2016-10012) OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) OpenSSH 远程代码执行漏洞(CVE-2016-10009) OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8...
生产漏洞修复总结
duanbiren123的博客
07-08 5232
1、 修复ssh相关漏洞 漏洞列表: OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325) OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755) OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) Openssh MaxAu...
记录因升级OpenSSL导致SSH无法启动问题
百里杨的博客
08-22 6978
因需要使用OpenSSL加密库进行开发,但是选择了高版本1.1.1,而linux环境中OpenSSL版本为1.0.2g, 所以想着干脆升级下,所以下载OpenSSL 1.1.1源码进行编译,然后安装。 照着网上的教程搞了下,很容易就实现了,终端中识别OpenSSL版本,如下: OpenSSL version -a 参考的博客是《Ubuntu16.04安装/升级openssl到1.1版本》 但是,过了几天发现SSH不能用了,查询ssh状态,也是启动失败。想起来动过OpenSSL,所以开始想办法恢复。 百度了
解决OpenSSH J PAKE授权问题漏洞 CVE 2010 4478 Linuxopenssh重装方法
07-19
解决OpenSSH J PAKE授权问题漏洞 CVE 2010 4478 需要更新openssh Linuxopenssh重装方法
Suse Linux Enterprise 12 SP3下载资源
01-05
日常进行开发安装虚拟机,需要Suse Linux操作系统,官网下载速度忒慢,特上传网盘资源,需要的伙伴可以下载
配置paddle导致OpenSSH version mismatch
weixin_41255438的博客
06-14 106
openssh version mismatch
Suse11 sp3 下升级 openssh-7.1脚本
weixin_34268610的博客
02-14 259
客户系统检测出openssh版本过旧存在漏洞,所以决定写个脚本,需要四个包:openssh-7.1p2.tar,openssl-1.0.1s.tar,telnet-server-1.2-149.1.x86_64,zlib-1.2.8.tar telnet 配置 1 # default: off 2 # description: Telnet is the old login se...
执行./configure: 报configure: error: *** zlib.h missing - please install first or check config.log 报错解决
热门推荐
看着博客敲代码
11-18 1万+
configure: error: *** zlib.h missing - please install first or check config.log *** 原因是缺少 zlib 有yum源的直接执行 # yum -y install zlib zlib-devel 没有yum源的可以直接在网上下载zlib的压缩包 # tar zxf zlib***.tar.gz # cd zlib-***/ # ./configure # make test # make install # make cle
openssl version mismatch. built against 30000010, you have 30100000
Xuesengxinyi的博客
11-15 2316
openssl version mismatch. built against 30000010, you have 30100000
linux明明已经安装了zlib-devel还是报错找不到zlib
u010029821的博客
03-04 8566
今天收到云中心发漏洞报告有一个漏洞:Dropbear 安全漏洞(CVE-2017-9078),按照以往的惯例都是升级对应的程序就可以了,这次也是去官网下载了最新的安装包,解压后,进行./configure 就是出现以下错误 configure: error: *** zlib.h missing – please install first or check config.log 然后就运行yum install -y zlib-deve,提示已经存在安装包:zlib-devel-1.2.3-2...
关于NTP提示:ntpd: OpenSSL version mismatch. Built against 10000003, you have 100020cf
夜来风雨的博客
07-07 9412
1、出现该问题由于升级OPENSSL导致 2、解决该方法: 重新安装NTP服务器 3、出现make  install 出现提示无GCC问题 解决方法如下: mv /usr/sbn/ntpd /usr/sbin/ntpd.bk 4、启动 service ntpd start报错如下: [ ok ] Stopping NTP server: ntpd. [....]
suse linux
09-24
SUSE Linux是一种开放源代码的Linux发行版,由SUSE公司开发和维护。它基于Linux内核,并提供了广泛的应用程序和工具,适用于各种用途和需求。SUSE Linux提供了稳定、灵活和安全的操作系统环境,被广泛用于服务器和企业级应用。 SUSE Linux具有以下特点: 1. 可靠性:SUSE Linux是一个经过充分测试和验证的发行版,具有良好的稳定性和可靠性。 2. 可扩展性:SUSE Linux支持在各种硬件平台上部署,包括服务器、桌面、移动设备等。 3. 安全性:SUSE Linux提供了强大的安全功能和机制,包括内置的防火墙、加密文件系统等,帮助保护系统免受恶意攻击。 4. 管理和维护:SUSE Linux提供了易于使用的管理工具和命令行界面,方便管理员进行系统配置、软件安装等操作。 5. 开放源代码:SUSE Linux基于开放源代码,用户可以自由地查看、修改和分发系统代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值