本文最后更新于 101 天前,其中的信息可能已经过时。
发生了什么事?
在 OpenSSH 中发现了一个远程代码执行(RCE)漏洞,该漏洞是由于 OpenSSH 服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在 Linux 系统上以 root 身份执行任意代码,威胁者可利用该漏洞在基于 glibc 的 Linux 系统上以 root 身份实现未经身份验证的远程代码执行。根据已公开技术细节中的描述,在开启 ASLR 的 i386 设备上,利用该漏洞大约需要 6-8 小时获取 root shell
主要受影响的系统大部分为新版Ubuntu、Debian 和 Centos9,而相对较老的Centos6、7、8 暂时不受影响。
如何修复?
目前OpenSSH上游已发布版本更新,受影响用户可通过软件源升级到最新版本(OpenSSH 9.8p1)或编译安装最新版本。
软件包安装:
sudo apt-get update && sudo apt-get install openssh-server
或:
sudo apt-get update && sudo apt-get upgrade
Red Hat 系:
yum update openssh
编译安装:
cd /root && sudo apt-get update && apt upgrade -y && sudo apt-get install -y build-essential zlib1g-dev libssl-dev && wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz && tar -xzf openssh-9.8p1.tar.gz && cd openssh-9.8p1 && ./configure && make && make install && sudo systemctl restart ssh && ssh -V && cd /root && rm -rf openssh-9.8p1 openssh-9.8p1.tar.gz
缓解措施
如果 sshd 无法更新或重新编译,可通过设置配置文件中的 LoginGraceTime 为 0 进行缓解,但是该方案会耗尽所有的 MaxStartups 连接,从而使 sshd 容易遭受拒绝服务攻击。
冷门笑话
CentOS 6、CentOS 7、CentOS 8 不受此漏洞影响。
什么老古董了