漏洞背景

OpenSSH 是一套用于安全网络通信的工具，提供了包括远 程登录、远程执行命令、文件传输等功能。2024 年 7 月 1 日， OpenSSH 官方发布安全通告，披露 CVE-2024-6387 OpenSSH Server 远程代码执行漏洞。 

影响范围

OpenSSH < 4.4p1（未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁）8.5p1 <= OpenSSH < 9.8p1

安全建议

官方已发布修复方案，受影响的用户建议更新至安全版 本。下载链接：/,遗憾的是目前各操作系统的软件源均不支持openssh更新到最新版本，只能手动更新了。幸好更新并不复杂，具体步骤如下:

一、现有环境

[root@localhost /]# ssh -V

OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

二、安装openssl （要求>= 1.1.1 ）

wget /source/old/1.1.1/openssl-1.1.

卸载原有OpenSSL

yum remove openssl

编译安装openssl

tar -xzvf openssl-1.1.

cd openssl-1.1.1w/

./config --prefix=/usr

make && make install

查看openssl版本

[root@localhost]# openssl version

OpenSSL 1.1.1w 11 Sep 2023

三、安装openssh 9.8p1

1.下载安装包

wget /pub/OpenBSD/OpenSSH/openssh-9.

2.解压安装包

tar -zxvf openssh-9.

3.备份配置文件(注意备份文件路径根据实际情况选择，后面会用到)

cp /etc/ssh/sshd_config /home/ssh/sshd_config.bak

cp /etc//sshd /home/ssh/

4.卸载原来的openssh

rpm -e --nodeps `rpm -qa | grep openssh`

rpm -qa openssh

5.编译安装文件

cd /soft/openssh-9.8p1

./configure --prefix=/usr/local/openssh9.8p1 --exec-prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-selinux --with-tcp-wrappers --with-ssl-dir=/usr/local/ssl --without-hardening

6.执行安装编译文件

make && make install

7.安装过程中会出现如下的错误信息是因为缺少文件权限

Permissions 0640 for '/etc/ssh/ssh_host_rsa_key' are too open.

Permissions 0640 for '/etc/ssh/ssh_host_ecdsa_key' are too open.

Permissions 0640 for '/etc/ssh/ssh_host_ed25519_key' are too open.

8.调整文件权限

chmod 600 /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key

配置调整

拷贝新生成的sshd

cp -a /home/openssh-9.8p1/contrib/redhat/ /etc//sshd（根据文件实际存储路径选择）

chmod u+x /etc//sshd

10.回拷备份配置文件（同3.备份配置文件路径相反）

cp /home/ssh/sshd_config.bak /etc/ssh/sshd_config

cp /home/ssh/ /etc//sshd

11.添加ssh到开机启动项，重启sshd服务

chkconfig --add sshd

chkconfig sshd on

systemctl restart sshd

12.验证版本

[root@localhost /]# ssh -V

OpenSSH_9.8p1, OpenSSL 1.1.1w 11 Sep 2023

/s/JtW1PssycD4nLqecbnHjnQ