序号 | 漏洞类型 | 风险等级 | 漏洞主机( 操作系统及版本) |
1 | OpenSSH 命令注入漏洞(CVE-2020-15778) | 高 | Centos7 |
OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH 8.4p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
2.加固方案
厂商补丁:
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
操作步骤:
- 通过官网下载最新版本版本openssh;
- 确认服务器版本信息,备份服务器相关配置;
- 通过yum方式安装源码必备依赖包;
- 安装telnet服务,并启用telnet服务,远程使用telnet进行登陆;
- 远程登陆服务器,进入openssh目录。解压最新版openssh,通过源码方式进行编译安装;
- 安装完成后进行版本验证;
- 验证无问题,删除telnet服务;
- 风险控制措施
临时缓解措施:
ps:可以禁用scp,改用rsync等缓解风险(可能会导致小文件机器内拷贝变慢)
ps: 通过防火墙白名单模式进行控制。
包括不限于:测试环境先做测试验证、把握时间窗口(实施时间)、备份机制、人员配合、系统保障(注明项目组侧支持),回退(配置/版本)等等
验证结果
通过升级SSH版本解决此漏洞,使用SSH -V进行查看版本进行验证。
注意事项
此操作升级可能会导致主机无法远程连接,升级操作前需要开启TELNET服务。