一、漏洞描述

2024年7月1日，OpenSSH官方發(fā)布了新的安全通告

通告中說明了漏洞影響的版本：8.5p1 <= OpenSSH < 9.8p1，大家可以通過 ssh -V 查看服務(wù)器的OpenSSH是否在受影響的版本內(nèi)。

如下圖所示，9.3p2在受影響的版本之內(nèi)。

二、升級OpenSSH

升級OpenSSH需要三個安裝包：

zlib-1.2.13.tar.gz 
openssl-1.1.1t.tar.gz
openssh-9.8p1.tar.gz

2.1、安裝zlib

先查看是否安裝zlib，執(zhí)行命令：

ll /usr/local/zlib/lib

有l(wèi)ibz.so.1.2.13說明已安裝。如果沒有，需要執(zhí)行下面步驟來安裝：

cd
tar zxvf zlib-1.2.13.tar.gz
cd zlib-1.2.13
./configure --prefix=/usr/local/zlib
make && make install

2.2、安裝openssl

先查看是否安裝openssl，執(zhí)行命令：

ssh -V

Openssl 1.1.1n 說明已安裝，如沒有或版本低于1.1.1n需要執(zhí)行下面步驟來安裝:

cd
tar zxvf openssl-1.1.1t.tar.gz
cd openssl-1.1.1t
./config --prefix=/usr/local/ssl -d shared
make && make install
echo '/usr/local/ssl/lib' >> /etc/ld.so.conf

2.3、安裝openssh

先卸載原openssh，卸載后切記不要斷開ssh連接，

yum -y remove openssh
rm -rf /usr/local/openssh

安裝

tar zxvf openssh-9.8p1.tar.gz
cd openssh-9.8p1
./configure --prefix=/usr/local/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl --without-openssl-header-check
make && make install

配置openssh

在/usr/local/openssh/etc/sshd_config末尾追加三行數(shù)據(jù)

echo 'PermitRootLogin yes' >> /usr/local/openssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >> /usr/local/openssh/etc/sshd_config
echo 'PasswordAuthentication yes' >> /usr/local/openssh/etc/sshd_config

執(zhí)行完成后，查看文件末尾三行是否已追加上：

cat /usr/local/openssh/etc/sshd_config

cd /root/openssh-9.8p1/contrib/redhat/
cp sshd.init /etc/init.d/sshd
chkconfig --add sshd
cp /usr/local/openssh/etc/sshd_config /etc/ssh/sshd_config 
cp /usr/local/openssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/openssh/bin/ssh /usr/bin/ssh
#如果提示文件忙可忽略，繼續(xù)執(zhí)行下一步
cp /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
cp /usr/local/openssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub

#設(shè)置開機(jī)啟動

chkconfig  --add  sshd
chkconfig  sshd  on

#查看版本

ssh  -V

至此，升級完成。

systemctl daemon-reload