一、漏洞概述
CVE-2024-6387是OpenSSH服务器(sshd)中的一个远程代码实行漏洞。它是自1995年OpenSSH问世近20年来初次出现的未经验证的远程实行(RCE)漏洞,攻击者可利用此漏洞提权至root最高权限,在不必要用户交互的情况下实行任意代码。该漏洞于2024年5月被发现,存在于使用glibc的Linux系统上的OpenSSH Server(sshd)中。由于信号处理器竞赛条件存在缺陷,如果客户端没有在默认的LoginGraceTime秒(默认为120秒,旧版OpenSSH中为600秒)内通过身份验证,那么sshd的SIGALRM处理步伐就会被异步调用,并调用各种不安全的异步信号函数,最终造成Double-Free内存管理问题,从而答应未经认证的远程攻击者以root用户身份实行任意代码。 漏洞名称:OpenSSH Server远程代码实行漏洞 漏洞编号:CVE-2024-6387 公开时间:2024-7-1 受影响版本:8.5p1 <= OpenSSH < 9.8p1 注:OpenBSD系统不受该漏洞影响。用户可实行sshd -V确认OpenSSH版本,现在该漏洞技术细节已在互联网上公开,鉴于影响范围较大,建议用户尽快做好自查及防护。
二、解决措施
升级OpenSSH服务器到最新可用更新(版本9.8p1)以修复漏洞。
三、升级前准备
1、openssh版本检查
- [root@localhost ~]# cat /etc/os-release
- NAME="openEuler"
- VERSION="22.03 LTS"
- ID="openEuler"
- VERSION_ID="22.03"
- PRETTY_NAME="openEuler 22.03 LTS"
- ANSI_COLOR="0;31"
- [root@localhost ~]# ssh -V
- OpenSSH_8.8p1, OpenSSL 1.1.1wa 16 Nov 2023
2、备份ssh相关文件
- cp -rf /etc/ssh/ /etc/ssh.bak
- cp -rf /usr/bin/openssl /usr/bin/openssl.bak
- cp -rf /etc/pam.d/ /etc/pam.d.bak
- cp -rf /usr/lib/systemd/system /usr/bin/system.bak
- # 安装telnet
- yum install telnet -y
- yum install xinetd
- #启动telnet服务
- systemctl enable --now xinetd
- systemctl enable --now telnet.socket
1、安装依靠并下载软件包
- yum install -y vim gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel zlib-devel tcp_wrappers-devel tcp_wrappers libedit-devel perl-IPC-Cmd wget tar lrzsz nano
- cd /usr/local/src/
- wget https://www.zlib.net/zlib-1.3.1.tar.gz
- wget https://www.openssl.org/source/old/3.2/openssl-3.2.1.tar.gz
- wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
- # 若服务器不连接外网,则可以直接复制URL到浏览器下载后再上传到服务器上
- cd /usr/local/src/
- tar -xvf openssh-9.8p1.tar.gz
- tar -xvf openssl-3.2.1.tar.gz
- tar -xvf zlib-1.3.1.tar.gz
- (1)进入zlib-1.3.1目录
- cd /usr/local/src/zlib-1.3.1
- (2)配置
- ./configure --prefix=/usr/local/src/zlib
- (3)编译及安装(编译时间预计几分钟,视机器而定)
- make -j 4 && make test && make install
- (1)进入openssl-3.2.1目录
- cd /usr/local/src/openssl-3.2.1
- (2)配置编译安装
- ./config --prefix=/usr/local/src/openssl
- make -j 4 && make install
- (3)配置
- mv /usr/bin/openssl /usr/bin/oldopenssl
- ln -s /usr/local/src/openssl/bin/openssl /usr/bin/openssl
- ln -s /usr/local/src/openssl/lib64/libssl.so.3 /usr/lib64/libssl.so.3
- ln -s /usr/local/src/openssl/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3
- (4)更新动态库
- echo "/usr/local/src/openssl/lib64" >> /etc/ld.so.conf
- ldconfig
- 5)查看更新后的版本
- openssl version -v
- OpenSSL 3.2.1 30 Jan 2024 (Library: OpenSSL 3.2.1 30 Jan 2024)
- (1)卸载openssh
- yum remove -y openssh
- (2)清理残余文件
- rm -rf /etc/ssh/*
- (3)安装新版本openssh9.8p1
- # 进入openssh-9.8p1目录
- cd /usr/local/src/openssh-9.8p1
- (4)配置编译安装
- ./configure --prefix=/usr/local/src/ssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/src/openssl --with-zlib=/usr/local/src/zlib
- yum install make
- make -j 4 && make install
- (5)查看目录版本
- /usr/local/src/ssh/bin/ssh -V
- (6)复制新ssh文件
- cp -rf /usr/local/src/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/sshd
- cp -rf /usr/local/src/openssh-9.8p1/contrib/redhat/sshd.pam /etc/pam.d/sshd
- cp -rf /usr/local/src/ssh/sbin/sshd /usr/sbin/sshd
- cp -rf /usr/local/src/ssh/bin/ssh /usr/bin/ssh
- cp -rf /usr/local/src/ssh/bin/ssh-keygen /usr/bin/ssh-keygen
- (7)允许root登录
- echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config
- echo 'PasswordAuthentication yes' >> /etc/ssh/sshd_config
- (8)重启sshd服务
- /etc/init.d/sshd restart
- (9)查看服务运行状态
- /etc/init.d/sshd status
- (10)添加开机启动
- chkconfig --add sshd
- (11)查看升级后ssh版本
- [root@localhost ~]# ssh -V
- OpenSSH_9.8p1, OpenSSL 3.2.1 30 Jan 2024
做完所有操纵后,对服务器重启(reboot),再测试一下是否可以连接。
关注微信公众号:小李运维之路,更多实用高效的技巧等着你
感谢关注、点赞、收藏!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
