Rocky Linux 9 系统OpenSSH CVE-2024-6387 漏洞修复

Rocky Linux 9系统 OpenSSH CVE-2024-6387 漏洞修复

  • 1、漏洞修复
  • 2、修复思路
  • 3、修复方案
    • 3.1、方案一
    • 3.2、方案二
  • 4、总结
  • 5、参考

1、漏洞修复

CVE-2024-6387:regreSSHion:OpenSSH 服务器中的远程代码执行(RCE),至少在基于 glibc 的 Linux 系统上可被利用。

根据 oss-security - CVE-2024-6387: RCE in OpenSSH’s server, on glibc-based Linux systems 的发现并由 oss-security - Announce: OpenSSH 9.8 released 上游总结,在 Portable OpenSSH 版本 8.5p1 至 9.7p1(含)中,sshd(8) 存在一个严重漏洞,可能允许以 root 权限执行任意代码。

在 32 位的 Linux/glibc 系统上,成功利用该漏洞已被证明,且需要启用地址空间布局随机化(ASLR)。在实验室条件下,攻击平均需要 6-8 小时的持续连接,直到服务器达到最大连接数为止。目前尚未证明在 64 位系统上可以利用该漏洞,但认为这可能是可行的。这些攻击很有可能会得到进一步改进。

公开披露日期: 2024年7月1日

影响范围: Rocky Linux 9

**修复版本:**8.7p1-38.el9_4.security.0.5 2024 年 7 月 1 日可用。

不受影响: Rocky Linux 8

2、修复思路

安装 8.7p1-38.el9_4.security.0.5 即可。

3、修复方案

方案一采用在线方式修复,方案二采用离线方式修复。根据自身的网络环境采用对应的方式进行修复

3.1、方案一

# 查看当前版本
[root@localhost ~]# rpm -qa | grep openssh
openssh-8.7p1-38.el9.x86_64
openssh-clients-8.7p1-38.el9.x86_64
openssh-server-8.7p1-38.el9.x86_64
 
# 安装更新源
[root@localhost ~]# dnf install -y rocky-release-security
Last metadata expiration check: 1:16:01 ago on Wed 03 Jul 2024 09:08:38 AM CST.
Dependencies resolved.
================================================================================================================================================================================================================================================================
 Package                                                                   Architecture                                              Version                                                    Repository                                                 Size
================================================================================================================================================================================================================================================================
Installing:
 rocky-release-security                                                    noarch                                                    9-4.el9                                                    extras                                                    9.5 k
 
Transaction Summary
================================================================================================================================================================================================================================================================
Install  1 Package
 
Total download size: 9.5 k
Installed size: 3.2 k
Downloading Packages:
rocky-release-security-9-4.el9.noarch.rpm                                                                                                                                                                                        38 kB/s | 9.5 kB     00:00    
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                                                                                                                            38 kB/s | 9.5 kB     00:00     
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                                                                                                                                                                                                        1/1 
  Installing       : rocky-release-security-9-4.el9.noarch                                                                                                                                                                                                  1/1 
  Running scriptlet: rocky-release-security-9-4.el9.noarch                                                                                                                                                                                                  1/1 
  Verifying        : rocky-release-security-9-4.el9.noarch                                                                                                                                                                                                  1/1 
 
Installed:
  rocky-release-security-9-4.el9.noarch                                                                                                                                                                                                                         
 
Complete!
 
# 禁用 SIG/Security security-common repo
[root@localhost ~]# dnf config-manager --disable security-common
 
# 升级 openssh
[root@localhost ~]# dnf --enablerepo=security-common -y update openssh\*
Rocky Linux 9 - SIG Security Common                                                                                                                                                                                              35 kB/s | 117 kB     00:03    
Last metadata expiration check: 0:00:01 ago on Wed 03 Jul 2024 10:25:04 AM CST.
Dependencies resolved.
================================================================================================================================================================================================================================================================
 Package                                                      Architecture                                        Version                                                                    Repository                                                    Size
================================================================================================================================================================================================================================================================
Upgrading:
 openssh                                                      x86_64                                              8.7p1-38.el9_4.security.0.5                                                security-common                                              453 k
 openssh-clients                                              x86_64                                              8.7p1-38.el9_4.security.0.5                                                security-common                                              693 k
 openssh-server                                               x86_64                                              8.7p1-38.el9_4.security.0.5                                                security-common                                              435 k
 
Transaction Summary
================================================================================================================================================================================================================================================================
Upgrade  3 Packages
 
Total download size: 1.5 M
Downloading Packages:
(1/3): openssh-server-8.7p1-38.el9_4.security.0.5.x86_64.rpm                                                                                                                                                                    122 kB/s | 435 kB     00:03    
(2/3): openssh-8.7p1-38.el9_4.security.0.5.x86_64.rpm                                                                                                                                                                           125 kB/s | 453 kB     00:03    
(3/3): openssh-clients-8.7p1-38.el9_4.security.0.5.x86_64.rpm                                                                                                                                                                   171 kB/s | 693 kB     00:04    
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                                                                                                                           331 kB/s | 1.5 MB     00:04     
Rocky Linux 9 - SIG Security Common                                                                                                                                                                                             1.6 MB/s | 1.7 kB     00:00    
Importing GPG key 0x0FE8D526:
 Userid     : "Rocky Linux 9 SIGs - Security <releng@rockylinux.org>"
 Fingerprint: 23DC 35EB E743 BAB0 CED2 1D20 8D79 B737 0FE8 D526
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-Rocky-SIG-Security
Key imported successfully
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                                                                                                                                                                                                        1/1 
  Running scriptlet: openssh-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                             1/6 
  Upgrading        : openssh-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                             1/6 
  Running scriptlet: openssh-server-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                      2/6 
  Upgrading        : openssh-server-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                      2/6 
  Running scriptlet: openssh-server-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                      2/6 
  Upgrading        : openssh-clients-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                     3/6 
  Running scriptlet: openssh-clients-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                     3/6 
  Running scriptlet: openssh-clients-8.7p1-38.el9.x86_64                                                                                                                                                                                                    4/6 
  Cleanup          : openssh-clients-8.7p1-38.el9.x86_64                                                                                                                                                                                                    4/6 
  Running scriptlet: openssh-server-8.7p1-38.el9.x86_64                                                                                                                                                                                                     5/6 
  Cleanup          : openssh-server-8.7p1-38.el9.x86_64                                                                                                                                                                                                     5/6 
  Running scriptlet: openssh-server-8.7p1-38.el9.x86_64                                                                                                                                                                                                     5/6 
  Cleanup          : openssh-8.7p1-38.el9.x86_64                                                                                                                                                                                                            6/6 
  Running scriptlet: openssh-8.7p1-38.el9.x86_64                                                                                                                                                                                                            6/6 
  Verifying        : openssh-server-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                      1/6 
  Verifying        : openssh-server-8.7p1-38.el9.x86_64                                                                                                                                                                                                     2/6 
  Verifying        : openssh-clients-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                     3/6 
  Verifying        : openssh-clients-8.7p1-38.el9.x86_64                                                                                                                                                                                                    4/6 
  Verifying        : openssh-8.7p1-38.el9_4.security.0.5.x86_64                                                                                                                                                                                             5/6 
  Verifying        : openssh-8.7p1-38.el9.x86_64                                                                                                                                                                                                            6/6 
 
Upgraded:
  openssh-8.7p1-38.el9_4.security.0.5.x86_64                                      openssh-clients-8.7p1-38.el9_4.security.0.5.x86_64                                      openssh-server-8.7p1-38.el9_4.security.0.5.x86_64                                     
 
Complete!
 
# 确保 openssh-8.7p1-38.el9_4.security.0.5 已安装
[root@localhost ~]# rpm -q openssh
openssh-8.7p1-38.el9_4.security.0.5.x86_64
 
[root@localhost ~]# rpm -qa | grep openssh
openssh-8.7p1-38.el9_4.security.0.5.x86_64
openssh-server-8.7p1-38.el9_4.security.0.5.x86_64
openssh-clients-8.7p1-38.el9_4.security.0.5.x86_64
 
# 因为安装过程中会自动重启 sshd 服务,所以安装完后无需再手动重启服务
[root@localhost ~]# systemctl status sshd
● sshd.service - OpenSSH server daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; preset: enabled)
     Active: active (running) since Wed 2024-07-03 10:18:42 CST; 34s ago # 重启时间
       Docs: man:sshd(8)
             man:sshd_config(5)
   Main PID: 64456 (sshd)
      Tasks: 1 (limit: 48933)
     Memory: 1.1M
        CPU: 14ms
     CGroup: /system.slice/sshd.service
             └─64456 "sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups"
 
Jul 03 10:18:42 localhost systemd[1]: Starting OpenSSH server daemon...
Jul 03 10:18:42 localhost sshd[64456]: Server listening on 0.0.0.0 port 22.
Jul 03 10:18:42 localhost systemd[1]: Started OpenSSH server daemon.

3.2、方案二

下载需要升级的安装包
在这里插入图片描述
编制安装脚本。

#!/bin/bash
set -e
echo -e "=======================================温馨提醒========================================="
echo -e "=== 1.本次安装升级OpenSSh9.8将同时升级OpenSSL版本至3.2.0,务必确保应用及产品兼容性。 ==="
echo -e "=== 2.建议提供其他能够链接至服务器的工具如Telnet防止升级失败导致服务器无法登录。     ==="
echo -e "=== 3.默认配置文件为/etc/ssh/sshd_config,若为自定义路径请修改脚本中SSH_CONFIG路径   ==="
echo -e "========================================================================================"

function OpenSSH_update() {
	yum localinstall -y openssh-*
	#cp -a /etc/ssh/ssh_host_* /tmp
	#rm -rf /etc/ssh/ssh_host_*

	#默认配置文件
	SSH_CONFIG=/etc/ssh/sshd_config
	COUNTERS=0

	while [ ! -f ${SSH_CONFIG} ] && [ ${COUNTERS} -lt 3 ]; 
	do
		echo -e "默认配置文件${SSH_CONFIG}不存在,请确认sshd_config配置文件位置。"
		read -p "请输入sshd_config文件路径,(例:/etc/ssh/sshd_config) :" SSH_CONFIG
		COUNTERS=$((COUNTERS+1))
	done

	if [ ${COUNTERS} -eq 3 ]; then
		echo "已经达到最大重试次数,升级脚本自动退出,请确认配置文件路径后在次运行脚本。"
		exit 1
	fi

                echo -e "默认配置文件为${SSH_CONFIG}"
                #备份配置文件到/tmp
                cp -a ${SSH_CONFIG} /tmp

	#表示指定将接受用于基于主机的身份验证的密钥类型。
	if ! grep -q '^PubkeyAcceptedAlgorithms' "${SSH_CONFIG}"; then
	    sed -i '$a\PubkeyAcceptedAlgorithms +ssh-rsa' "${SSH_CONFIG}"
	fi

	# 表示指定公钥认证允许的密钥类型。
	if ! grep -q '^PubkeyAcceptedKeyTypes' "${SSH_CONFIG}"; then
	    sed -i '$a\PubkeyAcceptedKeyTypes +ssh-rsa' "${SSH_CONFIG}"
	fi

	# 表示指定服务器提供的主机密钥算法。
	if ! grep -q '^HostKeyAlgorithms' "${SSH_CONFIG}"; then
	    sed -i '$a\HostKeyAlgorithms +ssh-rsa' "${SSH_CONFIG}"
	fi



#PubkeyAcceptedKeyTypes +ssh-rsa
#HostKeyAlgorithms +ssh-rsa


        echo -e "重启sshd服务......"
	systemctl restart sshd
        if [ -n "$(systemctl status sshd | grep "active (running)")" ]; then 
		echo "OpenSSH 升级成功"
		exit 0
	else 
		echo "重启sshd服务异常,请手动检查错误信息(systemctl status sshd -l)"
		exit 1
	fi
	
}

function main() {
	while true
	do
		read -p "请确认是否继续升级操作(Y/N)" yn
		case ${yn} in
			[Yy] ) echo "开始升级......"; OpenSSH_update;;
	        	[Nn] ) echo "退出"; exit 0; break;; 
		           * ) echo "请输入Yy/Nn";;
		esac
	done
}

main

将安装包和脚本上传至服务器,运行脚本。

4、总结

互联网接入环境中推荐方案一,离线情况下使用方案二操作。

5、参考

Rocky Linux 9 & RedHat 系 OpenSSH CVE-2024-6387 漏洞快速修复

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/768782.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

电脑免费压缩软件app哪个好?Top15压缩软件良心测评,图文详解!

你是否在寻找一款能够帮助你释放电脑存储空间的免费压缩软件app呢&#xff1f;在当今数字化生活中&#xff0c;文件和媒体内容日益增多&#xff0c;而硬盘空间却总是显得不够用。优秀的压缩工具不仅能节省空间&#xff0c;还能提升系统效率&#xff0c;让你的电脑运行更加流畅。…

Linux源码阅读笔记12-RCU案例分析

在之前的文章中我们已经了解了RCU机制的原理和Linux的内核源码&#xff0c;这里我们要根据RCU机制写一个demo来展示他应该如何使用。 RCU机制的原理 RCU&#xff08;全称为Read-Copy-Update&#xff09;,它记录所有指向共享数据的指针的使用者&#xff0c;当要修改构想数据时&…

DDR3(一)

目录 1 SDRAM1.1 同步动态随机存储器1.2 位宽1.3 SDRAM结构1.4 SDRAM引脚图 2 SDRAM操作指令2.1 读写指令2.2 刷新和预充电2.3 配置模式寄存器2.4 读/写突发2.5 数据屏蔽 SDRAM是DDR3的基础&#xff0c;在学习DDR3之前&#xff0c;我们先来学习一下SDRAM的相关知识。 1 SDRAM …

公网IP变更自动微信通知与远程执行命令的C++开源软件

基本功能 智能公网IP变更监测与微信通知 一旦检测到公网IP地址发生变更&#xff0c;系统将自动通过预设的QQ邮箱&#xff08;该邮箱与微信绑定&#xff0c;实现微信通知&#xff09;发送新IP地址通知。同时&#xff0c;软件会即时更新本地配置文件中的IP地址及变更时间&#…

vscode插件的开发过程记录(一)

前言 本文是关于visual studio code软件上自定义插件的开发记录&#xff0c;将从头记录本人开发的过程&#xff0c;虽然网上也有很多文章&#xff0c;但个人在实践的过程还是会遇到不一样的问题&#xff0c;所以记录下来&#xff0c;以便于后期参考。 前期准备&#xff1a; 1、…

Xilinx FPGA:vivado实现乒乓缓存

一、项目要求 1、用两个伪双端口的RAM实现缓存 2、先写buffer1&#xff0c;再写buffer2 &#xff0c;在读buffer1的同时写buffer2&#xff0c;在读buffer2的同时写buffer1。 3、写端口50M时钟&#xff0c;写入16个8bit 的数据&#xff0c;读出时钟25M&#xff0c;读出8个16…

William Yang:从区块链先锋到艺术平台创始人

在区块链技术和加密货币市场飞速发展的今天&#xff0c;William Yang无疑是这一领域的佼佼者。他不仅在学术和媒体领域取得了显著成就&#xff0c;更在创业之路上不断探索&#xff0c;成为了业内知名的KOL&#xff08;关键意见领袖&#xff09;。今天&#xff0c;我们有幸采访到…

视频监控汇聚和融合平台的特点、功能、接入方式、应用场景

目录 一、产品概述 二、主要特点 1、多协议支持 2、高度集成与兼容性 3、高性能与可扩展性 4、智能化分析 5、安全可靠 三、功能概述 1. 视频接入与汇聚 2. 视频存储与回放 3. 实时监控与预警 4. 信息共享与联动 5. 远程管理与控制 四、接入方式 1、直接接入 2…

使用CubeIDE调试项目现stm32 no source available for “main() at 0x800337c:

使用CubeIDE调试项目现stm32 no source available for "main() at 0x800337c&#xff1a; 问题描述 使用CubeIDE编译工程代码和下载都没有任何问题&#xff0c;点击Debug调试工程时&#xff0c;出现stm32 no source available for "main() at 0x800337c 原因分析&a…

[leetcode hot 150]第四百五十二题,用最少数量的箭引爆气球

题目&#xff1a; 有一些球形气球贴在一堵用 XY 平面表示的墙面上。墙面上的气球记录在整数数组 points &#xff0c;其中points[i] [xstart, xend] 表示水平直径在 xstart 和 xend之间的气球。你不知道气球的确切 y 坐标。 一支弓箭可以沿着 x 轴从不同点 完全垂直 地射出。…

快速入门FreeRTOS心得(正点原子学习版)

对于FreeROTS&#xff0c;我第一反应想到的就是通信里的TDM&#xff08;时分多址&#xff09;。不同任务给予分配不同的时间间隔&#xff0c;也就是任务之间在每个timeslot都在来回切换。 这里有重要的一点&#xff0c;就是中断要短小&#xff0c;优先级是自高到底进行打断。 …

204.贪心算法:分发饼干(力扣)

以下来源于代码随想录 class Solution { public:int findContentChildren(vector<int>& g, vector<int>& s) {// 对孩子的胃口进行排序sort(g.begin(), g.end());// 对饼干的尺寸进行排序sort(s.begin(), s.end());int index s.size() - 1; // 从最大的饼…

大数据招商的应用场景及实施路径有哪些?

当下&#xff0c;我国已经进入数字经济与实体经济融合发展的新阶段&#xff0c;数字技术和数字化转型落地日臻成熟&#xff0c;数据要素价值释放深入到了我国各个领域的发展&#xff0c;招商引资也不例外&#xff0c;在传统招商模式效果日渐甚微的大环境下&#xff0c;大数据招…

面试题 4:阐述以下方法 @classmethod, @staticmethod, @property?

欢迎莅临我的博客 &#x1f49d;&#x1f49d;&#x1f49d;&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:「stormsha的主页」…

数据大小端问题

文章目录 大小端前言函数引用(接下来使用此函数对高低位进行切换)先看截取的对于大小端的定义大小端数据的直观理解[重点] 对uchar数组进行取操作定义一个uint8_t的数组观察起内部内存尝试使用uint32_t 每次区 1、2、3、4byte数据 提升经过上面的介绍一定对大小端有了一定的了解…

2.3 主程序和外部IO交互 (文件映射方式)----IO Server实现

2.3 主程序和外部IO交互 &#xff08;文件映射方式&#xff09;----IO Server C实现 效果显示 1 内存共享概念 基本原理&#xff1a;以页面为单位&#xff0c;将一个普通文件映射到内存中&#xff0c;达到共享内存和节约内存的目的&#xff0c;通常在需要对文件进行频繁读写时…

基于OpenMV识别数字及程序说明

OpenMV简介 OpenMV是一个开源、低成本且功能强大的机器视觉模块。它基于STM32F427CPU&#xff0c;集成了OV7725摄像头芯片&#xff0c;能在小巧的硬件模块上&#xff0c;用C语言高效地实现核心机器视觉算法&#xff0c;并提供了Python编程接口&#xff0c;使得图像处理的复杂度…

【教程】lighttpd配置端口反向代理

转载请注明出处&#xff1a;小锋学长生活大爆炸[xfxuezhagn.cn] 如果本文帮助到了你&#xff0c;欢迎[点赞、收藏、关注]哦~ 1、修改配置文件&#xff1a; sudo vim /etc/lighttpd/lighttpd.conf2、先添加mod_proxy&#xff1a; 3、然后添加端口映射&#xff1a; 4、保存&…

2024年07年01日 Redis数据类型以及使用场景

String Hash List Set Sorted Set String&#xff0c;用的最多&#xff0c;对象序列化成json然后存储 1.对象缓存&#xff0c;单值缓存 2.分布式锁 Hash&#xff0c;不怎么用到 1.可缓存经常需要修改值的对象&#xff0c;可单独对对象某个属性进行修改 HMSET user {userI…

Transformation(转换)开发-switch/case组件

一、switch/case组件-条件判断 体育老师要做一件非常重要的事情&#xff1a;判断学生是男孩还是女孩、或者是蜘蛛&#xff0c;然后让他们各自到指定的队伍中 体育老师做的事情&#xff0c;我们同样也会在Kettle中会经常用来。在Kettle中&#xff0c;switch/case组件可以来做类似…