OpenSSH高危漏洞CVE-2025-26466和CVE-2025-26465:OpenSSH升级9.9p2 RPM一键更新包

已于 2025-04-14 16:54:00 修改
阅读量944 收藏 9
点赞数 23
分类专栏: CentOS 文章标签: linux centos ssl 安全
于 2025-04-14 15:50:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianlu930/article/details/147224648
版权

OpenSSH近期出现拒绝服务漏洞CVE-2025-26466和CVE-2025-26465,影响范围: OpenSSH 6.8p1 至 9.9p1、 OpenSSH 9.5p1 至 9.9p1, OpenSSH升级9.9p2 RPM一键更新包。

OpenSSH高危漏洞说明

OpenSSH(Open Secure Shell) 是 SSH 协议的开源实现,用于在不安全网络中建立加密通信,支持远程登录、文件传输等功能。作为 Linux/BSD 系统的核心组件,其安全性直接影响全球数百万服务器的管理。 OpenSSH 以代码质量和安全性著称,但近期曝光的两个高危漏洞 (CVE-2025-26465 和 CVE-2025-26466) 再次敲响警钟

漏洞详情与危害:

1.CVE-2025-26465(中间人攻击漏洞)

影响范围: OpenSSH 6.8p1 至 9.9p1

漏洞成因: VerifyHostKeyDNS 功能存在逻辑错误,当客户端通过 DNS 验证服务器密钥时,特定错误 (如内存分配失败) 会被误判为验证成功,导致攻击者可伪造服务器密钥并拦截敏感数据 13 。

利用场景: 攻击者可能窃取数据库凭证、横向渗透关键服务器,甚至触发 GDPR 等合规风险。

2.CVE-2025-26466(拒绝服务漏洞)

影响范围: OpenSSH 9.5p1 至 9.9p1

漏洞成因: 密钥交换过程中内存分配未限制,攻击者可发送超大 PONG 数据包 (约 234MB),导致客户端或服务器 CPU 和内存资源耗尽,引发服务瘫痪。

解决办法:

升级到最新OpenSSH 9.9p2版本。提供了rpm文件一建升级文件,适用系统: Debian/Ubuntu/CentOS 等 Linux 发行版。

首次使用这里的SSH RPM 包,需要在这里下载配套的OpenSSL一同安装

在这里下载的OpenSSL-3.3.1,理论上可以支持后续升级好多个在这里下载的OpenSSH版本

支持 x64 架构下的 CentOS 7/8、AlmaLinux 8、RockyLinux 8、AnolisOS 8、Kylin-V10

openssl3.3.1+openssh9.92 rpm升级包下载:
https://www.uihtm.com/other/19778.html

服务器版本对应openssh
openssh-9.9p2-rpms-an8-x64.tar.gz
openssh-9.9p2-rpms-el7-x64.tar.gz
openssh-9.9p2-rpms-el8-x64.tar.gz
openssh-9.9p2-rpms-ky10-x64.tar.gz

服务器版本对应openssl:
openssl-3.3.1-rpms-an8.tar.gz
openssl-3.3.1-rpms-el7.tar.gz
openssl-3.3.1-rpms-el8.tar.gz
openssl-3.3.1-rpms-ky10.tar.gz
在这里插入图片描述

openssh 9.9p2升级教程:

由于openssh9.8p1要求openssl版本大于等于1.1.1,因此需要升级安装openssl, 选择好对应系统版本的升级文件,以centos7为例:

需要openssl-3.3.1-rpms-el7.tar.gzo和openssh-9.9p2-rpms-el7-x64.tar.gzop包。下载上传到服务器:/usr/local/src目录,

解压文件:

tar -xvzf openssl-3.3.1-rpms-el7.tar.gz
tar -xvzf openssh-9.9p2-rpms-el7-x64.tar.gz

升级安装openssl3.3

rpm -ivh --nodeps --force openssl-3.3.1*/openssl-{3,d}*.rpm

在这里插入图片描述

卸载旧版本openssh,安装新版,

#卸载旧版本
yum remove openssh* -y

#安装新版本
yum install -y openssh-9.9p2*/openssh*

不要关闭当前ssh,新建一个会话

#关闭selinux
sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config && setenforce 0
#启用PAM
sed -i 's/#UsePAM.*/UsePAM yes/' /etc/ssh/sshd_config
#开启root登录
sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config
#600权限,不执行有小概率sshd起不来
chmod 600 /etc/ssh/ssh_host_*_key
#修改/etc/pam.d/sshd配置
cat > /etc/pam.d/sshd << EOF
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    required     pam_limits.so
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
EOF
#重启sshd服务
systemctl restart sshd

安装完成后,您可以使用以下命令启动 OpenSSH 服务:

systemctl start sshd
systemctl enable sshd

# 看看服务运行状态
sudo systemctl status sshd 
# 看看版本
sudo sshd -V

在这里插入图片描述
在这里插入图片描述

Openssh高危漏洞CVE-2023-38408修复方案(1)
2401_84968612的博客
05-13 718
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
升级openssh9.9p2 rpm
03-18
openssh9.9p2 openssl3.4.1 redhat8系rpm安装包,安全加固解决安全漏洞,具体操作可以看包内“安装说明” openssl 升级 rpm -e openssl --nodeps rpm -ivh openssl-3.4.1-1.el8.x86_64.rpm openssl-devel-3.4.1-1.el8.x86_64.rpm --nodeps --force openssh升级 openssh升级前一定要备份以下文件否则会无法登陆,输入正确的用户名密码也无法登陆,升级后使用备份文件恢复 备份文件/etc/ssh/sshd_config 备份目录所有文件/etc/pam.d 修改/etc/ssh/目录所有key文件为600
CentOS修复OpenSSH漏洞升级openssh 9.7 RPM更新包
天天打码-16年老码农
07-02 1213
在做政府学校单位网站时,经常需要服务器扫描检测,经常被OpenSSH Server远程代码执行漏洞CVE-2024-6387)安全风险通告,出了报告需要升级OpenSSH。使用是无法更新到最新的,因为系统里的包管理器里的不是最新的。百度很多网上的方法都手动安装编译,流程很麻烦,而且最终不行。最后找到了一个可行的,一个更新修复OpenSSH漏洞升级openssh 9.7 RPM包包。
升级openssh,解决漏洞CVE-2025-26465 CVE-2025-26466
mosaicwang的博客
02-21 1357
openssh漏洞 CVE-2025-26465 CVE-2025-26466
升级openssh-9.9p2.tar.gz版本(包含openssl升级1.1.1版本)
weixin_43951811的博客
03-19 741
/configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-ssl-include=/usr/local/openssl/include --with-ssl-lib=/usr/local/openssl/lib(指定ssl路径)4、编译:./config --prefix=/usr/local/openssl (指定下载安装路径/usr/local/openssl
CVE-2025-26466CVE-2025-26465离线修复方案(老版本升级方案)
baidu_25691461的博客
03-28 879
OpenSSH(OpenBSD Secure Shell)是加拿大 OpenBSD 计划组的一套用于安全OpenSSH(OpenBSD Secure Shell)是加拿大 OpenBSD 计划组的一套用于安全。传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。该工具是 SSH 协议的开源实现,支持对所有的。该工具是 SSH 协议的开源实现,支持对所有的。打开/etc/ssh/sshd_config找到82行并注释。
OpenSSH漏洞使SSH服务器易受中间人DoS 攻击
smellycat000的专栏
02-19 599
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OpenSSH 发布安全更新,修复了一个中间人攻击一个拒绝服务 (DoS) 漏洞,其中一个在十几年前就被引入。这两个漏洞由 Qualys 公司发现,该公司还向OpenSSH的维护人员演示了其可利用性。OpenSSH是SSH协议的免费开源实现,为通过不可信网络进行的安全远程访问、文件传输隧道提供加密通信。它是全球使用最广泛的工具之一,广泛用于企...
CentOS7/8紧急修复OpenSSH高危漏洞CVE-2024-6387升级openssh 9.8 RPM一键更新包
天天打码-16年老码农
07-04 4164
OpenSSH是SSH(Secure Shell)协议的开源实现,它支持在两个主机之间提供安全的加密通信,广泛用于Linux等系统,通常用于安全远程登录、远程文件传输其它网络服务。2024年7月1日,OpenSSH Server中存在的一个远程代码执行漏洞CVE-2024-6387,又被称为regreSSHion)细节被公开,该漏洞影响基于glibc的Linux系统上的OpenSSH Server (sshd)
centos8的openssh9.9p2 RPM包,解决漏洞CVE-2025-26465 CVE-2025-26466
03-04
升级包包括三个主要组件:openssh-9.9p2-1.el8.x86_64.rpmopenssh-clients-9.9p2-1.el8.x86_64.rpmopenssh-server-9.9p2-1.el8.x86_64.rpm,分别对应OpenSSH的基础工具、客户端服务器端。这些组件的升级对维护...
openssh-9.9p2rpm包适用于redhat6/7,centos6/7,修复中危安全漏洞 CVE-2025-26465 CVE-2025-26466
03-11
该版本对OpenSSH进行了更新,并修复了两个中危安全漏洞,即CVE-2025-26465CVE-2025-26466。这些漏洞的修补对于保护系统安全至关重要,因为OpenSSH是一种广泛使用的开源软件,它提供了安全的远程登录其它网络服务...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
在IT安全领域,保持软件系统更新以修复漏洞至关重要,特别是对于像OpenSSH这样的关键组件。OpenSSH是一种广泛使用的安全工具,它提供了在不同主机之间进行安全远程登录其他相关网络服务的功能。然而,随着时间的...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
OpenSSH是Secure Shell的开源实现,它为网络服务提供安全的加密通信,广泛应用于远程登录、文件传输等...遵循上述步骤,你可以有效地对系统进行备份、升级验证,从而确保你的OpenSSH服务运行在最新且最安全的版本上。
Linux:进程的创建&&进程的终止
最新发布
Visual_progress的博客
04-24 615
fork是c语言中的一个函数,用于创建新的子进程,它存放在<unistd.h>的头文件中当我们运行程序时,如果使用了fork函数那么就会为这个进程创建一个它的子进程,这个子进程会继承父进程的所有数据代码,但其实子进程是父进程共用一套数据代码。还有一个重点是:内存指针子进程会继承父进程的内存指针,内存指针用于指向程序执行到了哪里。我们来测试一下fork是否真的会创建一个新的进程。我们来看以下代码运行结果我们可以看到,在fork之前的程序只运行了一次,但是在fork之后的语句运行了两次,
Linux - 常用工具介绍
土司先生的博客
04-21 1042
vim, zip/unzip, gzip/gunzip, find 等常用工具讲解
Linux】基本指令(中)
输入的最佳方式是输出!✧⁺⸜(●˙▾˙●)⸝⁺✧
04-24 307
继续讲解Linux中基本指令
Linux ACL访问控制权限解析:超越传统权限的精细化管理
想进步的职场菜鸟。
04-22 540
详解Linux ACL访问控制权限,涵盖setfacl/getfacl命令实战、权限继承机制与Mask掩码原理,提供企业级权限管理方案示例,实现多用户精细权限控制。
Shell脚本-变量的分类
m0_61787196的博客
04-21 433
Shell脚本-变量的分类
Linux常用指令
ya3288426755的博客
04-23 1234
最近在进行操作系统的实验,涉及到Linux系统的使用,下面总结一些常用指令,涵盖文件管理、系统信息、进程管理、用户与权限、网络工具、文本处理、压缩与归档、系统维护等核心功能。:将前一个命令的输出作为后一个命令的输入。:将命令输出保存到文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天天打码

打赏买瓶护发素吧!~~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值