CVE-2023-38408漏洞修复 - 升级openssl和openssh

已于 2024-03-29 09:43:57 修改
阅读量1.7k 收藏 13
点赞数 18
分类专栏: 安全 文章标签: 安全
于 2024-03-27 17:46:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyj095/article/details/137080545
版权

CVE-2023-38408 OpenSSH 代码问题漏洞修复 - 升级openssl和openssh

※ 重要说明:
1、升级后会导致无法用ssh远程登录,提示“Permission denied, please try again.”
2、解决方案请查看本章节【三、解决升级后无法用ssh远程登录】

目录

一、漏洞说明

1、CVE-2023-38408漏洞

CVE-2023-38408 漏洞是OpenSSH 代码问题漏洞。

OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击
。** OpenSSH 9.3p2**之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。
攻击者可利用该漏洞执行远程代码。

序号应用项说明
1系统CentOS Linux release 7.9.2009 (Core)
2opensslopenssl-1.0.2k
3opensshopenssh_7.4p1

当前系统openssh版本
在这里插入图片描述

二、解决方案

解决方案是将openssl升级到v1.1.1;将openssh升级到openssh-9.3p2

序号应用项说明
1zlibzlib-1.2.13
2opensslopenssl-1.1.1u
3opensshopenssh-9.3p2

1、安装zlib

※ 说明:

  • 如果编译openssl源码或openssh源码时提示 fatal error: zlib.h: No such file or directory,则需要重新用源码编译安装zlib. 否则可以直接进入第2步 【2、安装openssl】

1.1、下载zlib源码

wget http://www.zlib.net/zlib-1.2.13.tar.gz

1.2、上传并解压

tar -xzvf ./zlib-1.2.13.tar.gz

1.3、编译源码并安装

cd zlib-1.2.13/
./configure --shared
make
make install

cp zutil.h /usr/local/include
cp zutil.c /usr/local/include

2、安装openssl

2.1、下载openssl源码

wget https://www.openssl.org/source/openssl-1.1.1u.tar.gz

2.2、上传并解压

tar -zxvf openssl-1.1.1u.tar.gz

2.3、编译源码并安装

cd openssl-1.1.1u
./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl shared zlib
make
make install

2.4、更新系统的 OpenSSL

# 更新系统的 OpenSSL 链接,首先备份旧版本的 openssl 可执行文件
mv /usr/bin/openssl /usr/bin/openssl.old
# 创建新的符号链接:
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
# 更新系统库链接
echo "/usr/local/openssl/lib" | sudo tee -a /etc/ld.so.conf.d/openssl-1.1.1k.conf
sudo ldconfig
# 验证系统openssl版本
openssl version

在这里插入图片描述

3、升级openssh

3.1、下载openssh源码

wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz

# 备份
mv /etc/ssh /etc/ssh@20240327

3.2、上传并解压

tar -zxvf openssh-9.3p2.tar.gz

3.3、编译源码并安装

cd openssh-9.3p2/
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/lib64/ --with-zlib --with-ssl-engine
make
make install

在这里插入图片描述

三、解决升级后无法用ssh远程登录

产生该问题的原因是升级后的OpenSSH启用了PAM登录认证,因此需要提供一个/etc/pam.d/sshd 控制文件。解决方案如下

1、修改配置文件

#vim /etc/ssh/sshd_config

在配置文件中新增下面配置

PermitRootLogin yes			    #允许root帐号远程登录
PasswordAuthentication yes         #开启密码认证方式
UsePAM yes                          #开启UsePAM登录

在这里插入图片描述

2、新增PAM控制文件

#vim /etc/pam.d/sshd


#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

在这里插入图片描述

3、重启sshd服务

#systemctl restart sshd

在这里插入图片描述

4、使用ssh远程连接服务器

# ssh root@ip

在这里插入图片描述

以上就是全部修复漏洞【CVE-2023-38408】的全部过程。

老杜095
关注
  • 18
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CVE-2023-38408漏洞修复--openssh&openssl升级
weixin_48493949的博客
12-01 6707
报错:openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory。c、升级ssh备份时同时备份 /etc/ssh 和 /usr/local/openssh 两个文件夹。b、上传并解压:tar -xzvf openssh-9.3p2.tar.gz。则在后面加上:--without-openssl-header-check。
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至。
12-29 2312
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 2072
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
[JAVA安全]CVE-2022-33980命令执行漏洞分析
snowlyzz的博客
01-11 1625
JAVA CVE-2022-33980命令执行漏洞分析
漏洞修复OpenSSH-ssh-agent 越权访问CVE-2023-38408
Meepoljd的博客
08-17 2804
打包Openssh9.3p2的RPM包并使用yum进行生产环境ssh版本升级
Openssh高危漏洞CVE-2023-38408修复方案
热门推荐
吴大锤的专栏
08-03 1万+
手动更新Openssh到最新 9.3.2版本
CVE-2023-38408漏洞修复--openssh&openssl升级
m0_61369275的博客
04-07 357
为了做好运维面试路上的助攻手,特整理了上百道。
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级opensshOpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复漏洞升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 430
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
RSAC 2024观察:软件供应链安全进入AI+时代
lurenjia404的博客
05-15 922
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
Llama 3 模型家族构建安全可信赖企业级AI应用之 Code Llama (一)
最新发布
段智华的博客
05-17 863
1、Llama开源模型家族大模型技术、工具和多模态详解:学员将深入了解Meta Llama 3的创新之处,比如其在语言模型技术上的突破,并学习到如何在Llama 3中构建trust and safety AI。8、Llama 3中的DPO原理、算法、组件及具体实现及算法进阶:学习Llama 3中结合使用PPO和DPO算法,剖析DPO的原理和工作机制,详细解析DPO中的关键算法组件,并通过综合项目八从零开始动手实现和测试DPO算法,同时课程将解密DPO进阶技术Iterative DPO及IPO算法。
openssh(cve-2023-38408)一键升级修复-openssh9.5p1下载码
02-01
openssh(cve-2023-38408)一键升级修复-openssh9.5p1下载码是指用来修复OpenSSH软件中的漏洞CVE-2023-38408的最新版本9.5p1的下载码。CVE-2023-38408是指OpenSSH软件中的一个安全漏洞攻击者可以利用该漏洞在未经授权的情况下执行任意代码或者获取敏感信息。 为了修复这个安全漏洞OpenSSH项目组发布了最新的版本9.5p1。用户可以通过下载码获得这个版本,并进行一键升级,从而修复漏洞OpenSSH的一键升级功能可以方便用户快速实施安全修复,避免手动升级的繁琐步骤。 要下载OpenSSH9.5p1的最新版本,用户可以访问OpenSSH官方网站或者相关的软件下载网站。一般来说,OpenSSH的官方网站会提供最新版本的下载链接,用户可以在网站上找到对应的下载码,然后使用该下载码完成软件的下载。 一键升级修复-openssh9.5p1的过程中,用户需要首先下载该版本的安装包,然后按照安装包中的指示进行安装。安装过程中可能需要用户提供管理员权限或者其他操作,具体步骤可以参考安装包中的文档。完成安装后,用户的OpenSSH软件就会被升级到最新的修复版本,安全漏洞CVE-2023-38408也将得到修复。 总之,通过使用下载码一键升级修复-openssh9.5p1,用户可以有效地解决OpenSSH软件中的安全漏洞CVE-2023-38408,保障系统的安全性和稳定性。用户在进行升级前需要确保备份重要数据,并遵循OpenSSH官方的指引和最佳实践,以确保升级过程的顺利进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老杜095

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值