当前位置: 首页 > news >正文

CVE-2024-6387漏洞、CVE-2025-26465漏洞、CVE-2025-26466漏洞 一口气全解决

漏洞描述

OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。
OpenSSH 存在安全漏洞,该漏洞源于信号处理程序中存在竞争条件,攻击者利用该漏洞可以在无需认证的情况下远程执行任意代码
并获得系统控制权。
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。
OpenSSH存在安全漏洞,该漏洞源于在VerifyHostKeyDNS选项启用时存在错误代码处理不当,会导致中间人攻击。

解决漏洞

升级到OpenSSH_9.9p2

环境准备

查看ssh

[root@wang ~]# ssh -V
OpenSSH_9.6p1, OpenSSL 3.0.12 24 Oct 2023

关闭selinux

cat /etc/selinux/config
改了重启一下!

更新本地yum

yum -y update
yum -y install perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker
yum -y install zlib*
yum -y install pam-*
yum -y install gcc
yum -y install openssl-devel

创建目录

cd /usr/local
mkdir ssl
mkdir openssh
mkdir zlib

安装telnet,防止升级导致ssh无法连接。

对就是这个小东西来连接在这里插入图片描述

#安装telnet
yum install -y telnet*#启动服务
systemctl enable telnet.socket
systemctl start telnet.socket#防火墙配置
firewall-cmd --permanent --add-service=telnet
firewall-cmd --reload#测试连接
[root@wang ~]# telnet 192.168.111.100
Trying 192.168.111.100...
Connected to 192.168.111.100.
Escape character is '^]'.Authorized users only. All activities may be monitored and reported.
wang login: login: timed out after 60 secondsConnection closed by foreign host.允许root登录
默认系统禁止root用户通过telnet远程登录,需执行:
[root@wang ~]# echo 'pts/0' >> /etc/securetty
[root@wang ~]# echo 'pts/1' >> /etc/securetty这样就算成功。
[root@wang ~]# telnet 192.168.111.100
Trying 192.168.111.100...
Connected to 192.168.111.100.
Escape character is '^]'.Authorized users only. All activities may be monitored and reported.
wang login: root
Password:
Last login: Sat Jun 21 20:59:23 from ::ffff:192.168.111.1Authorized users only. All activities may be monitored and reported.Welcome to 6.6.0-98.0.0.101.oe2403sp1.x86_64

软件包下载

https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/
https://www.zlib.net/fossils/
https://openssl-library.org/source/
在这里插入图片描述

上传软件包

在这里插入图片描述
在这里插入图片描述

yum -y install tarcd /opt
tar -zxvf zlib-1.3.tar.gz
tar -zxvf openssl-3.3.1.tar.gz
tar -zxvf openssh-9.9p2.tar.gz

编译安装zlib

cd /opt/zlib-1.3
指定软件的安装目录 。
./configure --prefix=/usr/local/zlib

在这里插入图片描述

make && make install

在这里插入图片描述

ls /usr/local/zlib/

在这里插入图片描述

这个路径添加到系统的动态链接库搜索路径中,以便让系统知道去哪里查找你手动安装的 zlib 库。
echo '/usr/local/zlib/lib' >> /etc/ld.so.conf  
ldconfig -v

编译安装openssl

cd /opt/openssl-3.3.1
./config --prefix=/usr/local/ssl -d shared

在这里插入图片描述

这个过程比较漫长,需要等待一段时间。
make && make install   # 将原有openssl备份
mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak # 添加新openssl软连接,这个是把安装以后的openssl创建一个快捷方式。
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl/ /usr/include/opensslecho '/usr/local/ssl/lib64' >> /etc/ld.so.conf
ldconfig -v
openssl version

在这里插入图片描述

vi ~/.bashrc
export PATH="/usr/local/bin:$PATH"
export LD_LIBRARY_PATH="/usr/local/ssl/lib64:$LD_LIBRARY_PATH"
source ~/.bashrc

在这里插入图片描述

openssl: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory
#如果openssl version报错以下信息则执行以下命令
ldconfig /usr/local/lib64/
openssl version

编译安装openSSH

#备份ssh目录文件
cp -r /etc/ssh /etc/ssh.bak[root@wang openssl-3.3.1]# rpm -qa | grep openssh
openssh-clients-9.6p1-6.oe2403sp1.x86_64
openssh-server-9.6p1-6.oe2403sp1.x86_64
openssh-9.6p1-6.oe2403sp1.x86_64# 两种方式删除
rpm -e --nodeps openssh-clients-9.6p1-6.oe2403sp1.x86_64
rpm -e --nodeps openssh-server-9.6p1-6.oe2403sp1.x86_64
rpm -e --nodeps openssh-9.6p1-6.oe2403sp1.x86_64yum remove -y openssh-clients-9.6p1-6.oe2403sp1.x86_64
yum remove -y openssh-server-9.6p1-6.oe2403sp1.x86_64
yum remove -y openssh-9.6p1-6.oe2403sp1.x86_64#再次检查是否删除完成
rpm -qa | grep opensshcd /opt/openssh-9.9p2
./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl --without-zlib-version-check

在这里插入图片描述

make && make install

修改sshd_config文件

echo 'PermitRootLogin yes' >>/usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >>/usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >>/usr/local/openssh/etc/sshd_config

扫尾工作

之前备份过了,直接覆盖!

cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config
# 这个可能会出现文件繁忙的情况,无法覆盖最后也能更新不影响。
# 也可以选择把sshd服务停了,但是停了再覆盖也会出现版本没有更新。(不一定我试过停sshd服务也有更新成功的情况)
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygenmv /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub.bak
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub[root@wang openssh-9.9p2]# pwd
/opt/openssh-9.9p2find / -name sshd.init
/opt/openssh-9.9p2/contrib/redhat/sshd.initcp -p contrib/redhat/sshd.init /etc/init.d/sshd# ssh服务必须开机自启动
chmod +x /etc/init.d/sshd  
chkconfig --add sshd
chkconfig sshd onsystemctl restart sshd 
systemctl status sshd

在这里插入图片描述

ssh -V 

在这里插入图片描述

#重启再次检测
reboot  
ssh -V

参考文献

记一次手动将OpenSSH从7.4升级到9.8的过程
Linux升级OpenSSH
【openssl】 version `OPENSSL_3.0.3‘ not found 问题

总结

所有命令都需要反复敲来实验来记忆,本人基本上是个人理解加参考其他大佬的肯定有很多问题欢迎指正,我会及时修改。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dtcms.com/a/255861.html

相关文章:

  • 【JS-4.3-鼠标常用事件】深入理解DOM鼠标事件:全面指南与最佳实践
  • FPGA四十年创新:因仿真加速而生,AI加速而盛!
  • 股票账户的管理和交易
  • 车载电子电器架构 --- 法律和标准对电子电气架构的影响
  • Mac电脑-Markdown编辑器-Typora
  • 数据库part3---表关联、索引、视图
  • 深入浅出:Go语言中的Cookie、Session和Token认证机制
  • Vibe Coding - 进阶 Cursor Rules
  • gRPC 框架面试题精选及参考答案
  • C++模板基础
  • Python实现MySQL建表语句转换成Clickhouse SQL
  • OpenAI与微软的未来合作之路:充满挑战的AI竞赛与共赢
  • [Github]GitHub 2FA快速安全配置全攻略
  • 前端登录不掉线!Vue + Node.js 双 Token 无感刷新方案
  • RJ45 网口实现千兆传输速率(1Gbps)的原理,涉及物理层传输技术、线缆标准、信号调制及网络协议等多方面的协同设计。以下从技术维度展开详细解析:
  • 经典:在浏览器地址栏输入信息到最终看到网页的全过程,涉及网络协议以及前后端技术
  • day11——Java面向对象高级:多态、抽象类与接口深度解析
  • 5.2 Qt Creator 使用FFmpeg库
  • 【09】设计并实现一套面向 Agent 任务规划的 DSL 语言
  • python:使用 OpenAI CLIP 模型进行图像与文本的语义匹配,并用彩虹色带可视化 CLIP 模型的相似度矩阵
  • TodoList 案例(Vue3): 使用Composition API
  • 嵌入式开发之嵌入式系统架构如何搭建?
  • 【StarRocks系列】建表优化
  • AI与SEO关键词协同进化
  • HarmonyOS 5 NPU支持哪些AI框架?
  • 系统化的Node.js服务器搭建攻略
  • 如何用 eBPF 实现 Kubernetes 网络可观测性?实战指南
  • 读者写者问题与读写锁自旋锁
  • 文献调研[eeg溯源的深度学习方法](过程记录)
  • AI大模型学习之基础数学:微积分在AI大模型中的核心-梯度与优化(梯度下降)详解