CentOS 7 x86_64 制作openssh 9.3p2 rpm包修复安全漏洞 —— 筑梦之路

这篇具有很好参考价值的文章主要介绍了CentOS 7 x86_64 制作openssh 9.3p2 rpm包修复安全漏洞 —— 筑梦之路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

最近openssh 暴露出一个安全漏洞CVE-2023-38408,以下是相关资讯:

2023年7月19日,OpenSSH发布紧急安全补丁,以解决OpenSSH ssh-agent转发中存在安全漏洞远程执行CVE-2023-38408。漏洞由Qualys威胁研究单位(TRU)发现。

OpenSSH 是Secure Shell (SSH)协议的开源版本,提供一整套服务,旨在在客户端-服务器框架内的不安全网络上实现加密通信。 作为安全网络交互的重要组成部分,OpenSSH 是许多单位和企业网络防御策略的重要工具。

ssh-agent在这种情况下发挥着重要作用。它是一个辅助程序,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。 一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验。

概述

CVE-2023-38408是一个远程代码执行漏洞,位于 ssh-agent 的转发功能内,特别是涉及提供PKCS#11相关服务的情况下。在某些条件下,可以操纵ssh-agent对PKCS#11的支持,以便通过转发的代理套接字来促进远程代码执行。利用的先决条件包括受害者系统上存在特定库以及需要将代理转发到攻击者控制的系统。

OpenSSH代理转发

ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,从而减少常规密码输入的需要。它在X或登录会话开始时启动,通过将密钥存储在内存中并仅在进程结束时卸载来进行操作。

它在自动化脚本或需要频繁服务器连接的任务中非常有用,因为它可以防止不安全的密码存储或持续的密码短语输入。到ssh-agent的连接可以从更远的远程转发,以避免需要将身份验证数据存储在其他机器上。尽管如此,使用强大的密码来保护密钥仍然至关重要。

潜在影响

利用此漏洞允许远程攻击者可以在受漏洞影响的OpenSSH转发的ssh-agent上执行任意命令。Qualys安全研究人员已经能够独立验证该漏洞并在Ubuntu Desktop 22.04和21.10的安装上开发PoC漏洞。其他Linux发行版可能容易受到攻击并且可能被利用。

解决方案

为了有效解决和防范CVE-2023-38408,请遵循以下综合步骤:

首先升级到OpenSSH 9.3p2或更高版本:升级到最新版本的OpenSSH至关重要,因为它包含缓解漏洞的关键补丁。确保所有相关系统和服务器及时更新至推荐版本或更高版本。

另外采取预防措施来避免被利用:

建议在仅仅OpenSSH用于远程主机管理的机器,通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。

关闭SSH代理转发功能方法为:

配置/etc/ssh/sshd_config

AllowTcpForwarding NO

总结

新发现的ssh-agent漏洞影响范围巨大,具有一定的威胁性,建议有关部分和企业即时升级补丁解决漏洞,并且通过配置、ACL限制等手段以确保安全。

因此,对于红帽系列的操作系统修复该安全漏洞,需要制作PRM包,制作过程可参考之前的博文:

centos 7 制作openssh8.7/8.8/8.9/9.0/9.1/9.2/9.3 p1 rpm包升级——筑梦之路_openssh rpm包_筑梦之路的博客-CSDN博客

rpm源码包

https://download.csdn.net/download/qq_34777982/88086071

二进制rpm包见我的资源。 

以下是适用于不同操作系统的rpm包资源:

https://download.csdn.net/download/qq_34777982/88092935

https://download.csdn.net/download/qq_34777982/88090182

https://download.csdn.net/download/qq_34777982/88090150

https://download.csdn.net/download/qq_34777982/88090137

非常感谢大佬yitusitun0425给出的建议,如果仅仅是为了修复该漏洞,可以直接yum update来更新openssh版本,操作示例如下:

yum  update  openssh-server -y

参考资料:

cve-details文章来源地址https://www.toymoban.com/news/detail-603567.html

到了这里,关于CentOS 7 x86_64 制作openssh 9.3p2 rpm包修复安全漏洞 —— 筑梦之路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 记一次修复漏洞(OpenSSH 安全漏洞(CVE-2023-28531))CentOS升级openssh

    1.查看当前openssl和openssh版本 2.安装并启用telnet服务(防止升级过程无法连接机器) 设置开机自启 启动服务 检查服务是否开启: 开启root用户在telnet登陆:   3.配置防火墙(关闭防火墙可不配置) 法一:直接对外开发23端口(高风险)  #--permanent 为永久开启,不加此参数重启

    2024年02月06日
    浏览(49)
  • Centos7.9-升级openssh9.7p1,修复安全漏洞

    Centos7.9- 升级openssh9.7p1,修复安全漏洞 说明: ssh 服务可以说是最重要的服务之一,远程管理基本都是使用这个了。然而如果出现漏洞,就存在很大的风险,需要及时升级ssh版本来修复漏洞。 主要方法:利用ansible批量源码编译安装openssh                      思路:

    2024年04月26日
    浏览(56)
  • 【Linux】 OpenSSH_9.3p1 升级到 OpenSSH_9.3p2(亲测无问题,建议收藏)

    👨‍🎓 博主简介   🏅云计算领域优质创作者   🏅华为云开发者社区专家博主   🏅阿里云开发者社区专家博主 💊 交流社区: 运维交流社区 欢迎大家的加入! 🐋 希望大家多多支持,我们一起进步!😄 🎉如果文章对你有帮助的话,欢迎 点赞 👍🏻 评论 💬 收藏

    2024年02月08日
    浏览(53)
  • CentOS 7 源码制作openssh 9.4p1 rpm包 —— 筑梦之路

    参考之前的博客: centos 7 制作openssh8.7/8.8/8.9/9.0/9.1/9.2/9.3 p1 rpm包升级——筑梦之路_openssh rpm包_筑梦之路的博客-CSDN博客 需要说明的是9.4及以上版本必须要openssl 1.1.1,低于此版本无法完成编译 。这也是单独写这篇文章的必要性。  参考这篇编译安装最新版openssl CentOS 7 源码编

    2024年02月09日
    浏览(49)
  • CentOS 7 源码制作openssh 9.4p1/9.5p1 rpm包 —— 筑梦之路

    参考之前的博客: centos 7 制作openssh8.7/8.8/8.9/9.0/9.1/9.2/9.3 p1 rpm包升级——筑梦之路_openssh rpm包_筑梦之路的博客-CSDN博客 需要说明的是9.4及以上版本必须要openssl 1.1.1,低于此版本无法完成编译 。这也是单独写这篇文章的必要性。  参考这篇编译安装最新版openssl CentOS 7 源码编

    2024年02月06日
    浏览(51)
  • 【Linux】 OpenSSH_7.4p1 升级到 OpenSSH_9.3p2(亲测无问题,建议收藏)

    👨‍🎓 博主简介   🏅云计算领域优质创作者   🏅华为云开发者社区专家博主   🏅阿里云开发者社区专家博主 💊 交流社区: 运维交流社区 欢迎大家的加入! 🐋 希望大家多多支持,我们一起进步!😄 🎉如果文章对你有帮助的话,欢迎 点赞 👍🏻 评论 💬 收藏

    2024年02月08日
    浏览(45)
  • 【Linux】 OpenSSH_9.3p2 升级到 OpenSSH_9.4p1(亲测无问题,建议收藏)

    👨‍🎓 博主简介   🏅云计算领域优质创作者   🏅华为云开发者社区专家博主   🏅阿里云开发者社区专家博主 💊 交流社区: 运维交流社区 欢迎大家的加入! 🐋 希望大家多多支持,我们一起进步!😄 🎉如果文章对你有帮助的话,欢迎 点赞 👍🏻 评论 💬 收藏

    2024年02月05日
    浏览(42)
  • CentOS 7 基于官方源码制作openssh 9.7p1 rpm包(without ssl)—— 筑梦之路

    2024年3月11日,openssh 发布9.7 p1版本,这里在centos7 x86_64系统上来进行制作适用于centos 7 redhat 7 x86_64操作系统的openssh 9.7版本rpm包。 特别说明:9.6版本以后官方不再使用openssl,因此安装后ssh -V 查看会显示without ssl 因此,本文中制作的rpm包安装后均会显示without ssl,若需要显示

    2024年04月10日
    浏览(47)
  • Linux|编译最新版的openssh-server-9.3的rpm包(一)

    openssh服务的重要性不需要在这里废话了,而面对各种系统漏洞服务漏洞,我们最好的应对手段就是升级了,因此,我们的服务器很可能有升级内核的需求,以及升级系统内的重要服务的需求,而作为与服务器交互的服务sshd来说,漏洞也是非常多的,但该服务是基础服务,是

    2024年02月14日
    浏览(59)
  • CentOS 6 制作openssh 9.6 p1 rpm包(含ssh-copy-id、openssl) —— 筑梦之路

    openssh 9.6 需要openssl 1.1.1 以上版本,因此需要先安装openssl  1.1.1,可阅读这篇升级更新openssl版本到1.1.1w CentOS 6 制作openssl 1.1.1w rpm包 —— 筑梦之路-CSDN博客 CentOS 6很久都停止更新和支持,关于此版本的写的不多,之前写过这篇可作为参考 CentOS 6 源码制作openssh8.9/9.0/9.1/9.2/9.3

    2024年01月20日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包