OpenSSH 安全漏洞，修补操作一手掌握

1. 漏洞概述

近日，国家信息安全漏洞库（CNNVD）收到关于OpenSSH安全漏洞（CNNVD-202407-017、CVE-2024-6387）情况的报送。攻击者可以利用该漏洞在无需认证的情况下，通过竞争条件远程执行任意代码并获得系统控制权。OpenSSH多个版本受该漏洞影响。目前，OpenSSH官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

危害影响

OpenSSH 8.5p1版本至9.8p1之前版本均受该漏洞影响。

2. 系统环境

l 操作命令：

cat /etc/redhat-release

3. 检查SSH版本

l 操作命令：

ssh -V

4. 升级包下载

OpenSSH：https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

OpenSSL：https://www.openssl.org

Zlib：https://zlib.net/

5. 解压升级包

l 操作命令：

tar -zxvf openssl-3.2.3.tar.gz

tar -zxvf openssh-9.9p1.tar.gz

tar -zxvf zlib-1.3.1.tar.gz

6. 安装zlib包

l 操作命令：

cd zlib-1.3.1/

mkdir /usr/local/src/zlib

./configure --prefix=/usr/local/src/zlib

make -j 4 && make install

7. 安装openssl

l 操作命令：

cd openssl-3.2.3/

./config shared zlib --prefix=/usr/local/src/openssl

make -j 4

make install

u 更新openssl动态库：

mv /usr/bin/openssl /usr/bin/openssl.old

ln -s /usr/local/src/openssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/src/openssl/lib64/libssl.so.3 /usr/lib64/libssl.so.3

ln -s /usr/local/src/openssl/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3

8. 安装openssh

u 卸载ssh旧版本

l 操作命令：

yum remove -y openssh

rm -rf /etc/ssh/*

u 安装新版本openssh

l 操作命令：

cd openssh-9.9p1/

./configure --prefix=/usr/local/src/ssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/src/openssl --with-zlib=/usr/local/src/zlib

make -j 4

make install

u 更新动态库：

l 操作命令：

cp -rf contrib/redhat/sshd.init /etc/init.d/sshd

cp -rf contrib/redhat/sshd.pam /etc/pam.d/sshd

cp -rf /usr/local/src/ssh/sbin/sshd /usr/sbin/sshd

cp -rf /usr/local/src/ssh/bin/ssh /usr/bin/ssh

cp -rf /usr/local/src/ssh/bin/ssh-keygen /usr/bin/ssh-keygen

/etc/init.d/sshd restart

systemctl status sshd

sshd -V

9. 报错日志：

编译openssl报错：

err.o -c -o crypto/comp/libcrypto-lib-comp_err.o crypto/comp/comp_err.c

make[1]: *** [crypto/comp/libcrypto-lib-c_zlib.o] Error 1

make[1]: *** Waiting for unfinished jobs....

make[1]: Leaving directory `/opt/openssl-3.2.3'

make: *** [build_sw] Error 2

解决方法：

安装依赖包：zlib-devel

安装openssh报错：

configure: error: PAM headers not found

解决方法：

安装依赖包：pam-devel