CVE-2023-38408 OpenSSH 代码问题漏洞修复 - 升级openssl和openssh
※ 重要说明:
1、升级后会导致无法用ssh远程登录,提示“Permission denied, please try again.”
2、解决方案请查看本章节【三、解决升级后无法用ssh远程登录】
一、漏洞说明
1、CVE-2023-38408漏洞
CVE-2023-38408 漏洞是OpenSSH 代码问题漏洞。
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击
。** OpenSSH 9.3p2**之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。
攻击者可利用该漏洞执行远程代码。
序号 | 应用项 | 说明 |
---|---|---|
1 | 系统 | CentOS Linux release 7.9.2009 (Core) |
2 | openssl | openssl-1.0.2k |
3 | openssh | openssh_7.4p1 |
当前系统openssh版本
二、解决方案
解决方案是将openssl升级到v1.1.1;将openssh升级到openssh-9.3p2
序号 | 应用项 | 说明 |
---|---|---|
1 | zlib | zlib-1.2.13 |
2 | openssl | openssl-1.1.1u |
3 | openssh | openssh-9.3p2 |
1、安装zlib
※ 说明:
- 如果编译openssl源码或openssh源码时提示 fatal error: zlib.h: No such file or directory,则需要重新用源码编译安装zlib. 否则可以直接进入第2步 【2、安装openssl】
1.1、下载zlib源码