OpenSSH 漏洞补丁更新笔记

已于 2024-06-13 16:49:18 修改
阅读量1k 收藏 19
点赞数 25
分类专栏: 运维工作笔记 文章标签: 笔记
于 2024-04-30 11:34:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43258559/article/details/138339232
版权

OpenSSH 漏洞补丁更新笔记

相关背景

客户通过第三方扫漏工具发现服务器centos8和Ubuntu22.04有OpenSSH 相关高危漏洞
扫出以下漏洞:

OpenSSH 输入验证错误漏洞(CVE-2019-16905)
OpenSSH 操作系统命令注入漏洞(CVE-2020-15778)
OpenSSH 安全漏洞(CVE-2021-41617)
OpenSSH 代码问题漏洞(CVE-2023-38408)
OpenSSH 信息泄露漏洞(CVE-2020-14145)
OpenSSH 授权问题漏洞(CVE-2021-36368)

加固建议

若您不需要使用该应用或服务,请关闭该应用或服务即可。
目前厂商已经发布了升级补丁以修复这个安全问题,截止20231017日,建议升级到到当前最新的版本9.5,或后续更高版本。
Linux系统请在以下页面进行下载:
http://www.openssh.com/portable.html

其他版本系统请到厂商主页下载最新版本:
http://www.openssh.com/

OpenSSH 8.8 以后版本弃用RSA 以及影响

https://www.openssh.com/txt/release-8.8
OpenSSH 弃用 RSA 签名主要是因为 RSA 签名算法的安全性在现代密码学标准中已经开始受到一些质疑。
OpenSSH 8.8 版本开始建议用户使用 ECDSA 或 Ed25519 签名算法,而不是 RSA。这样做可以提高系统的安全性,并且通常不会影响到用户的使用。
OpenSSH 8.8 版本中弃用 RSA 签名对安全性的影响是很小的,因为 RSA 签名仍然被广泛支持和使用,而且通常不会在短期内完全淘汰。
可能需要更新配置:如果您的 OpenSSH 配置中明确指定了使用 RSA 签名算法,您可能需要更新配置以使用推荐的 ECDSA 或 Ed25519 签名算法。您可以编辑 OpenSSH 的配置文件(通常是 /etc/ssh/sshd_config),将 HostKeyAlgorithms 和 PubkeyAcceptedKeyTypes 指定为 ECDSA 和 Ed25519,以确保使用这些更现代的签名算法。
兼容性考虑:尽管 OpenSSH 8.8 弃用了 RSA 签名,但由于 RSA 仍然被广泛使用,因此这个变化不太可能导致大规模的兼容性问题。但是,如果您的系统与使用 RSA 签名的旧客户端或服务端有交互,可能需要进行一些调整和测试,以确保兼容性。

在这里插入图片描述

centos8 更新openssh9.7p1

不适用centos7及以下,会报错

通过rpm包进行安装

请大佬同事对源码包构建成rpm包后进行安装
文件在文章最上面

#上传rpm包至服务器后解压
unzip x86_64.zip
yum install ./openssh-server-9.7p1-1.el8.x86_64.rpm ./openssh-clients-9.7p1-1.el8.x86_64.rpm ./openssh-9.7p1-1.el8.x86_64.rpm
#备份/etc/ssh
cp -a /etc/ssh /etc/ssh.bak

#删除历史ssh_host相关配置,重启后会自动生成
rm -rf /etc/ssh/ssh_host_*

systemctl enable sshd
systemctl restart sshd

更新完成后,在单开个终端测试登录是否正常
远程工具重新登录可能出现以下提示点OK即可
重启服务器进行验证
如是堡垒机连接,因sshd更新,导致无法远程连接,需要删除堡垒机内服务器资源,重新添加可解决该问题

在这里插入图片描述

Ubuntu更新openssh-9.5p1 以及9.7都可

前置条件

从相关网站下载源码包,我下载的openssh-9.5p1.tar.gz
http://www.openssh.com/portable.html
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
在这里插入图片描述

下载的源码包导入服务器后操作

查看openssh版本

dpkg -l | grep openssh

自带源更新,查看是否能更新到9.7

apt upgrade openssh-server openssh-client

下载源码包到服务器

tar -zxvf openssh-9.5p1.tar.gz
cd openssh-9.5p1

安装环境

sudo apt update
sudo apt install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev autoconf automake

预配置,会提示需要pam,不确定不安装pam是否有影响,未测试。

./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-pam --with-ssl-dir=/usr/local

安装pam

apt-get install -y  libpam-pwquality

编译安装

make && make install

修改默认配置,避免无法登录服务器

echo 'PermitRootLogin yes' >>/usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >>/usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >>/usr/local/openssh/etc/sshd_config

备份历史配置文件,并替换

mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config

mv /usr/sbin/sshd /usr/sbin/sshd.bak
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd

mv /usr/bin/ssh /usr/bin/ssh.bak
cp /usr/local/openssh/bin/ssh /usr/bin/ssh

mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen

mv /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub.bak
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub

修改sshd服务

# modify Type=notify to Type=simple
sed -i "s/Type\=notify/Type\=simple/g" /etc/systemd/system/sshd.service

更新完看到sshd 是disabled
故更新完成后对sshd服务重启,并添加开机自启,以及检查

systemctl daemon-reload
systemctl enable sshd
systemctl restart sshd
systemctl list-unit-files --type=service | grep enabled

查看ssh版本是否更新

ssh -V

单开个终端进行远程连接测试,如异常还可进行调整
重启服务器再次登录验证

风车带走过往
关注
  • 25
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
RedHat Openssh漏洞补丁
03-20
RedHat6版本的 openssh 漏洞rpm 补丁
LinuxOpenSSH8.3p1补丁包20200908.zip
09-08
补丁包包含了升级所需的3个压缩文件及操作步骤,按照升级文件上的步骤操作就可以把redhat的openssh版本升级到openssh8.3p1。
Centos7升级OpenSSH到9.3P2以解决安全问题CVE-2023-38408
02-19 744
在2023年7月19日,OpenSSH团队紧急发布了补丁,针对CVE-2023-38408进行了修复,并在后续版本如9.3p2中包含了这些关键的安全更新。通过遵循以上步骤,管理员可以有效地在CentOS 7系统上升级OpenSSH至9.3p2版本,从而消除CVE-2023-38408带来的潜在风险。从可靠的源下载适用于CentOS 7的OpenSSH 9.3p2源代码包,例如来自CSDN或其他官方推荐渠道的RPM构建包。配置新的sshd服务,根据新版本特性修改。
OpenSSL补丁安装(二)
stone_bk的博客
03-23 1549
Redhat系统 Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求,建议将其升级到最新的OpenSSH版本,当前官网最新版本为7.4p1. 本文档将详细介绍OpenSSH升级的完整步骤。需要说明的是,升级过程中虽然涉及zlib、openssl和openssh的卸载,但是并不会导致当前的ssh远程连接会话断开,因此是可以将整个升级过程写成自动化脚本...
Linux服务器OpenSSH版本升级-解决关于OpenSSH的CVE漏洞问题
最新发布
qq_41849775的博客
06-07 229
现在绝大多数服务器的操作连接基本都是走的SSH协议,也就是常用的22端口。在升级OpenSSH的过程中会卸载老版本,安装新版本,也就意味着升级过程中如果出现了问题,你可能会永远连不上你的服务器了。如何避免这个问题呢,就是采用telnet协议(23端口)来连接服务器,这样在SSH升级的过程中失败也不会有影响,重新安装即可。注:执行ldconfig -v有些报错,直接忽略即可。访问以下地址下载最新安装包。下载后的安装包(当前最新)编译安装新版openssh
openssh补丁升级
weixin_42824805的博客
04-22 1816
openssh补丁升级 标注 tonight(一) 概述 根据漏洞扫描的结果,给内网电脑升级指定版本的openssh。 此次操作在机器的root用户下执行。 步骤 第一步:检查telnet存不存在 rpm -qa|grep "telnet" #不存在则需要安装telnet 如果存在则检查是否开启服务,如果显示connect ,则是开启服务状态 telnet XXX.XX.XX.XX 22 如果没有开启服务,则执行 #开启telnet服务 yum -y install telnet-server --n
linux openssh补丁,openssh升级,打补丁
weixin_29605607的博客
05-16 1011
以Root用户上传升级包至/home/dou/systemopenssh-7.5p1.tar.gzopenssl-1.0.2l.tar.gzzlib-1.2.11.tar.gzl安装所需包挂载镜像#mount -t iso9660 /home/dou/system/rhel-server-7.2-x86_64-dvd.iso /mnt/system/ -o loopl安装包#yum -y in...
openssh-5.9p1后门打补丁
08-08
openssh-5.9p1后门打补丁
Redhat6.5升级openSSH-8.7p1修补扫描openSSH漏洞.zip
09-26
在描述中提到的漏洞可能是由于旧版本的OpenSSH存在安全缺陷,可能导致恶意攻击者入侵系统,因此需要及时更新到最新版本。在这个案例中,我们需要将OpenSSH从旧版本升级到8.7p1,这是一个包含安全修复的更新版本。 ...
Centos7_x64-openssh7.4补丁包rpm包,(最新fix CVE-2021-41617).zip
02-18
Centos7 openssh7.4补丁修复升级方法: 1.上传并解压:Centos7-openssh补丁包(最新fix CVE-2021-41617 #2008884).zip 2.到服务器对应的解压目录 执行命令安装 : rpm -Fvh openssh-* 3.安装完成后执行命令查看修复...
openssh-8.5p1.tar.gz 升级openssh补丁
04-09
解压后,使用rpm -Uvh openssh-*.rpm命令安装
openssh rpm升级包
10-28
RedHat openssh 升级rpm包
升级openssh所需要的升级包
09-20
升级openssh所需要的升级包,已经是ssh7.3P1
openssh漏洞修复
07-13
Linux 下openssh版本升级到7.5 P1可以解决多个22端口的漏洞
libssh-0.8.4 ssh补丁
12-09
libssh 补丁包,系统更新加固使用,适用于redhat,ubantu
OpenEuler22.03 LTS 升级openssh9.6p1解决openssh中高危漏洞(亲测有效)
02-22
OpenSSH 9.6p1是该软件的一个重要更新,主要修复了多个安全漏洞。其中,包括对中间人攻击的防御增强,防止了通过密钥交换阶段的漏洞进行密码嗅探。此外,它还解决了可能导致拒绝服务(DoS)攻击的问题,比如内存泄漏...
linux openssh补丁,OpenSSH 服务器的 20 个最佳实践–手工升级、打补丁
weixin_36457572的博客
05-16 1324
前几天安全团队发邮件说其中一台服务器的OpenSSH6.2的版本有bug,需要升级到6.7才行。于是我赶紧登录到服务器看,在openSuSE里的yast里提供的最新版本就是6.2,如果要强升级到6.7,只有在 -openssh 的站点下载最新的源码,然后编译、安装。问题是,通过源码编译安装的openssh与openSuSE自带的安装可能存在路径上的差异。openSuSE随机安装的openssh的配...
openssh升级,打补丁
weixin_30800807的博客
04-18 1925
以Root用户上传升级包至/home/dou/system openssh-7.5p1.tar.gz openssl-1.0.2l.tar.gz zlib-1.2.11.tar.gz l 安装所需包 挂载镜像 #mount -t iso9660 /home/dou/system/rhel-server-7.2-x86_64-dvd.iso /mnt/system/ -...
怎么处理centos7 openssh漏洞
06-01
CentOS 7中的OpenSSH漏洞主要是指OpenSSH 7.4版本中存在的漏洞,可以通过以下步骤进行修复: 1. 升级OpenSSH版本 可以使用以下命令升级OpenSSH版本: ``` sudo yum update openssh ``` 此命令将自动下载并安装最新版本的OpenSSH。 2. 禁用UsePrivilegeSeparation 如果无法升级OpenSSH版本,可以通过修改sshd_config文件禁用UsePrivilegeSeparation来解决漏洞问题。具体步骤如下: - 打开sshd_config文件:`sudo vi /etc/ssh/sshd_config` - 找到UsePrivilegeSeparation行,并将其改为UsePrivilegeSeparation no - 保存并关闭文件 - 重启sshd服务:`sudo systemctl restart sshd` 以上就是解决CentOS 7中OpenSSH漏洞的两种方法。建议使用第一种方法升级OpenSSH版本,以提高系统的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值