守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略1 漏洞简述1.1 漏洞成因1.2 漏洞影响1.3 处置优先级:高2 影响版本3 解决方案3.1 临时缓解方案3.2 升级修复方案4 升级修复步骤4.1 检查OpenSSH升级前的版本4.2 安装依赖组件和依赖包4.2.1 安装依赖组件4.2.2 安装依赖包4.3 启用telnet服务4.3.1 检查是否安装telnet4.3.2 打开telnet服务4.3.3 启动telnet服务4.3.3.1 RedHat Linux & CentOS Linux 5/6 4.3.3.2 RedHat Linux & CentOS Linux 74.4 备份老版本相关命令4.5 编译安装升级zlib4.5.1 下载zlib4.5.2 编译安装zlib4.6 编译安装升级OpenSSL-fips4.6.1 下载OpenSSL-fips4.6.2 编译安装OpenSSL-fips4.7 编译安装升级OpenSSL4.7.1 下载OpenSSL4.7.2 编译安装OpenSSL4.8 修改并重建ssl动态链接库4.9 删除自带老版本OpenSSH4.10 编译安装升级OpenSSH4.10.1 下载OpenSSH4.10.2 编译安装升级OpenSSH版本4.10.3 替换老版本相关命令4.10.4 设置sshd服务并设置随系统自动启动4.10.5 重启sshd服务4.11 查看OpenSSH升级后的版本4.12 停止telnet服务4.12.1 设置telnet服务参数4.12.2 停止telnet服务4.12.2.1 RedHat Linux & CentOS Linux 5/6 4.12.2.3 RedHat Linux & CentOS Linux 7
手动编译更新Openssh到最新9.8p1版本。
CVE-2024-6387 是 OpenSSH 服务器中的一个严重漏洞,影响基于 glibc 的 Linux 系统。攻击者可以利用该漏洞在无需认证的情况下,通过竞态条件远程执行任意代码,获得系统控制权。这个漏洞源于处理超时信号时的不安全操作,最早在 OpenSSH 8.5p1 版本中引入。
成功利用该漏洞的攻击者可以以 root 身份进行未经身份验证的远程代码执行 (RCE)
在某些特定版本的 32 位操作系统上,攻击者最短需 6-8 小时即可获得最高权限的 root shell。而在 64 位机器上,目前没有在可接受时间内的利用方案,但未来的改进可能使其成为现实。
漏洞类型:远程代码执行
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置可利用
用户交互要求:无需用户交互
利用成熟度:部分 EXP 已公开(适配单一版本,32 位系统)
批量可利用性:可使用通用原理 POC/EXP 进行检测/利用
修复复杂度:中,官方提供升级修复方案
组件
影响版本
安全版本
OpenSSH
8.5p1 <= OpenSSH < 9.8p1
>=9.8p1
如果暂时无法更新或重新编译 sshd
可以在配置文件中将 LoginGraceTime 设置为 0(永不超时)。这样虽然会使 sshd 暴露于拒绝服务攻击(占满所有 Startups 连接),但可以避免远程代码执行风险。
启用 fail2ban 等防护机制,封禁发生过多次失败登录 ssh 尝试的来源 IP。
将 OpenSSH 更新到最新版本 9.8p1 或者各发行版本的修复版本。
\# ssh -V
结果如下:
\[root@superman ~\]\# ssh -V
OpenSSH\_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
\[root@superman ~\]\#
\# yum groupinstall -y "Compatibility libraries" "Development tools" "debugging Tools"
\# yum install -y gcc\* glibc\* openssl-devel telnet telnet-server -y
\# rpm -qa | grep telnet
确保有telnet和telnet-server包。
结果如下:
\[root@superman ~\]\# rpm -qa | grep telnet
telnet-0.17-66.el7.x86\_64
telnet-server-0.17-66.el7.x86\_64
\[root@superman ~\]#
**注意:**只需RedHat Linux & CentOS Linux 5/6 操作即可,RedHat Linux & CentOS Linux 7无需操作。
\# vi /etc/xinetd.d/telnet
将其中disable字段有yes改为no。
\# ntsysv
或者
\# service xinetd restart
\# systemctl start telnet.socket
\# cp -f /usr/bin/openssl /usr/bin/openssl.bak
\# cp -f /usr/bin/ssh /usr/bin/ssh.bak
\# cp -f /usr/bin/slogin /usr/bin/slogin.bak
\# cp -f /usr/sbin/sshd /usr/sbin/sshd.bak
\# wget https://zlib.net/fossils/zlib-1.2.11.tar.gz
\# tar -zxvf zlib-1.2.11.tar.gz
\# cd zlib-1.2.11
\# ./configure
\# make && make install
\# cd ../
\# wget https://www.openssl.org/source/old/fips/openssl-fips-2.0.16.tar.gz
\# tar -zxvf openssl-fips-2.0.16.tar.gz
\# cd openssl-fips-2.0.16
\# ./config
\# make && make install
\# cd ../
\# wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1w.tar.gz
\# tar -zxvf openssl-1.1.1w.tar.gz
\# cd openssl-1.1.1w
\# ./config --prefix=/usr/local/ssl -d shared
\# make depend
\# make && make install
\# cd ../
\# echo "/usr/local/ssl/lib" >>/etc/ld.so.conf
\# ldconfig
\# for i in $(rpm -qa|grep openssh);do rpm -e $i --nodeps;done
\# wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
\# tar -xzf openssh-9.8p1.tar.gz
\# cd openssh-9.8p1
\# ./configure --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl
\# make && make install
\# chmod 600 /etc/ssh/ssh\_host\*
\# \\cp -f /usr/local/bin/ssh /usr/bin
\# \\cp -f /usr/local/bin/ssh-keygen /usr/bin/
\# \\cp -f /usr/local/ssl/bin/openssl /usr/bin/
\# \\cp -f /usr/local/sbin/sshd /usr/sbin/
\# \\cp ./contrib/redhat/sshd.init /etc/init.d/sshd
\# cd ..
\# chkconfig --add sshd
\# chkconfig sshd on
\# systemctl restart sshd
\# sshd -V
结果如下:
\[root@superman ~\]\# ssh -V
OpenSSH\_9.8p1, OpenSSL 1.1.1w 11 Sep 2023
\[root@superman ~\]\#
**注意:**只需RedHat Linux & CentOS Linux 5/6 操作即可,RedHat Linux & CentOS Linux 7无需操作。
\# vi /etc/xinetd.d/telnet
将其中disable字段有no改为yes。
\# ntsysv
或者
\# service xinetd restart
\# systemctl stop telnet.socket
👍 点赞,你的认可是我创作的动力!
⭐️ 收藏,你的青睐是我努力的方向!
✏️ 评论,你的意见是我进步的财富!