修复 Qualys 报告的 OpenSSH 8.7 “regreSSHion” Vulnerable SSH-2.0-OpenSSH_8.7 detected on port 22 over TCP.

原创 于 2025-08-04 15:51:13 发布 · 1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssh #tcp/ip #web安全

     您是否在最近的 Qualys 安全扫描报告中看到了这样一条警报:“Vulnerable SSH-2.0-OpenSSH_8.7 detected on port 22 over TCP”?如果答案是肯定的,那么您需要立即行动起来。这不仅仅是一个普通的警告,它指向一个名为 “regreSSHion” 的高危漏洞,可能让您的服务器面临被远程完全控制的巨大风险。

在这篇博文中,我们将深入解析这个漏洞的严重性,并为您提供清晰、可操作的修复指南,帮助您快速加固系统,抵御潜在的网络攻击。

漏洞聚焦:什么是 “regreSSHion” (CVE-2024-6387)?

      Qualys 报告中提到的 OpenSSH 8.7 漏洞,其核心指向了近期被披露的 CVE-2024-6387,安全社区也称之为 “regreSSHion”。这个名字巧妙地揭示了它的本质——一个在旧版本中已被修复,却在后续版本中意外“回归”的严重缺陷。

漏洞类型: 远程代码执行 (Remote Code Execution, RCE)

影响版本: OpenSSH 8.5p1 至 9.8p1

威胁级别: 严重 (Critical)

漏洞原理简述

该漏洞存在于 OpenSSH 服务器(sshd)处理登录宽限期(LoginGraceTime)的信号处理机制中。简单来说,未经身份验证的远程攻击者可以利用这个缺陷,通过发送特定构造的网络请求来触发一个“竞争条件”。如果成功利用,攻击者将可能在您的服务器上以最高权限(root)执行任意恶意代码。

除了 CVE-2024-6387,OpenSSH 8.7 还受到其他相关漏洞的影响,例如 CVE-2024-6409 (竞争条件) 和 CVE-2016-20012 (用户枚举),这些都增加了系统的攻击面。

风险有多大?潜在的影响

一旦攻击者成功利用此漏洞,后果不堪设想:

  • 服务器完全沦陷: 攻击者获得 root 权限,等同于交出了服务器的“万能钥匙”,可以为所欲为。

  • 核心数据泄露: 服务器上存储的所有敏感信息,包括客户资料、财务数据、源代码和数据库,都将面临被窃取或公开的风险。

  • 内部网络跳板: 被攻陷的服务器将成为攻击者渗透您整个内部网络的绝佳跳板。

  • 服务中断与勒索: 攻击者可以轻易地让您的业务服务中断,或部署勒索软件进行敲诈。

行动指南:如何彻底修复漏洞?

为了消除这一重大安全隐患,我们强烈建议您遵循以下步骤操作。

方案一:立即升级 OpenSSH (首选)

这是最直接、最彻底的解决方案。将 OpenSSH 升级到已修复此漏洞的最新稳定版本,可以一劳永逸地解决问题。

1. 检查当前版本:

ssh -V

如果版本在 8.5p1 和 9.8p1 之间,您就需要立即升级。

2. 执行升级命令:

  • 对于 Debian/Ubuntu 系统:

    sudo apt-get update
sudo apt-get install --only-upgrade openssh-server openssh-client

  • 对于 Red Hat/CentOS/Fedora 系统:

    sudo yum update openssh
# 或者对于较新的系统
sudo dnf update openssh

3. 重启 SSH 服务:

升级完成后,务必重启 SSH 服务以加载新版本。

sudo systemctl restart sshd

方案二:紧急缓解措施 (当无法立即升级时)

如果您因业务限制等原因无法马上进行升级,可以采取以下临时缓解措施。请注意:这只是权宜之计,您仍需尽快规划升级。

此方法通过禁用导致漏洞的“登录宽限期”来阻止攻击。

1. 编辑 SSH 配置文件:

使用您喜欢的编辑器(如 vim 或 nano)打开 sshd_config 文件。

sudo nano /etc/ssh/sshd_config

2. 修改参数:

在文件中找到 LoginGraceTime 这一行(如果不存在,请在末尾添加),并将其值设置为 0。

LoginGraceTime 0

3. 保存并重启服务:

保存文件后,重启 SSH 服务使配置生效。

sudo systemctl restart sshd

这个设置会禁用登录宽限期,从而有效阻止 CVE-2024-6387 和 CVE-2024-6409 漏洞的利用。

安全加固:不止于修复漏洞

在修复漏洞之后,我们还建议您采取以下措施,进一步提升服务器的安全性:

  • 防火墙策略: 配置严格的防火墙规则,仅允许来自可信 IP 地址的 SSH 访问请求。

  • 禁用密码登录: 优先使用更安全的 SSH 密钥对进行身份验证,并在 sshd_config 中禁用密码登录 (PasswordAuthentication no)。

  • 定期审计日志: 养成定期检查 /var/log/auth.log 或类似日志文件的习惯,监控任何异常登录尝试。

总结

Qualys 报告的 OpenSSH 8.7 漏洞是一个真实且迫在眉睫的威胁。面对 “regreSSHion” 这样的高危漏洞,任何的疏忽都可能导致灾难性的后果。请立即行动,检查您的服务器,并按照本文的指南完成升级或缓解措施。保障系统安全,刻不容缓。

OpenSSH升级8.7版本。OpenSSH 命令注入漏洞
看着博客敲代码
09-02 1399
OpenSSH升级8.7版本rpm包 OpenSSH 8.72021 年 820 日发布 一定要备份配置文件 cp -r /etc/ssh/ /etc/ssh.bak/ cp -r /etc/pam.d/ /etc/pam.d.bak/ 源码包下载地址: http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.7p1.tar.gz 源码安装步骤(步骤内容为8.4版本,只需要把8.4改为8.7即可) https://blog.cs
OpenSSH】立即检测 OpenSSHregreSSHion 漏洞
u012153104的博客
07-03 1124
随着 OpenSSH 最新高危漏洞 CVE-2024-6387regreSSHion)的披露,网络安全专家和系统管理员需要迅速采取行动,确保他们的服务器不受此漏洞的影响。本文将介绍一个名为 CVE-2024-6387_Check 的工具,它可以帮助用户快速扫描并识别易受攻击的服务器。
关于Java连接Xftp的问题:Could not parse response code. Server Reply: SSH-2.0-OpenSSH 异常
jiu_mu_mu的博客
11-28 1701
ftp连接
telnet 连接 socket 服务接口返回 SSH-2.0-OpenSSH_7.4
witkey_ak9896的博客
04-16 5719
这说明您连接的是一个运行 SSH 服务的 socket。通常情况下,telnet 连接的是一个运行 telnet 服务的 socket,但是如果您连接的是一个运行 SSH 服务的 socket,您就会看到 "SSH-2.0-OpenSSH_7.4" 这样的提示。最近需要部署一套 sockert 长连接程序到服务器,让运维开放服务器端口出来,然后测试发现报 SSH-2.0-OpenSSH_7.4 , 用 telnet 连接后 发送消息,服务端程序未收到什么数据。
FTP连接服务器Server Reply: SSH-2.0-OpenSSH_6.6.1异常
毅香雪海的博客
05-30 2349
sftp连接ftp下载文件
2.2 SSH服务器与OpenSSH
ZZULI_Miriam的博客
05-24 712
SSH服务器配置SSH服务器配置文件 /etc/ssh/sshd_config[root@CentOS7 ~]# cat /etc/ssh/sshd_config # $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $ # This is the sshd server system-wide configuration ...
polkit-0.96-11.el6_10.2.x86_64.rpm离线升级包下载(Polkit漏洞CentOS6修复升级包)
02-09
CentOS 6.X版本专用 升级命令: rpm -Uvh polkit-0.96-11.el6_10.2.x86_64.rpm 或yum localinstall -y polkit-0.96-11.el6_10.2.x86_64.rpm ...https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
polkit-0.112-26.el7_9.1.x86_64.rpm离线升级包下载(Polkit漏洞CentOS7修复升级包)
02-09
CentOS 7.X版本专用 升级命令: rpm -Uvh polkit-0.112-26.el7_9.1.x86_64.rpm 参考链接: https://ubuntu.com/security/CVE-2021-4034 ...https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
openssl-fips-2.0.10.tar.gz,安装nginx所需要的环境包
03-02
6. **验证Nginx**:检查Nginx日志以确认其成功加载了FIPS模块,并通过SSL/TLS测试工具(如Qualys SSL Labs)验证加密配置是否符合FIPS标准。 通过遵循这些步骤,你可以确保你的Nginx服务器使用的是符合FIPS 140-2...
OpenSSH 漏洞 CVE-2025-26465 和 CVE-2025-26466 可引发中间人攻击和 DoS 攻击
最新发布
技术超强的网络安全平台
04-27 1879
2025年2月18日,广泛使用的安全网络实用程序套件OpenSSH中披露了两个严重漏洞。这两个漏洞分别被标识为和。
OpenSSH登录SSH2
10-11
如何确定是OpenSSH还是SSH2? 执行命令“ssh -V”,通过它的输出,即可确定: SSH2 ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on OpenSSH OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
Redhat6.5升级openSSH-8.7p1修补扫描openSSH漏洞.zip
09-26
Redhat6.5服务器被扫描openssh漏洞,升级opensshopenSSH 8.71版本来修补漏洞。提供详细操作文档和相关源码包。
openssh
mushuangpanny的博客
04-23 4562
openssh 文章目录openssh. 常见的远程登录1. telnet 远程登录协议,23/TCP2. dropbear 嵌入式系统专用的SSH服务器端和客户端工具3. ssh (Secure SHell) 22/TCP4. ssh的认证方式5. 工作模式 --- openssh6. ssh的远程登录方式6.1 用户名相同,直接用ip地址登录6.2 用户名不同,用户名+ip地址登录6.3 不登录进去,并且执行命令后自动退出7. 加密与解密7.1 ssh主机密钥7.2 将文件删除后在登录会重新进行主机验
OpenssH 漏洞修复
阿干tkl的博客
01-12 3165
OpenssH 安全漏洞扫描版本过低,需更新到最新版本
Linux系统OpenSSH出现漏洞(CVE-2024-6387修复
Java程序员_编程开发学习笔记_网站安全运维教程_渗透技术教程
02-18 2047
CVE-2024-6387 是一个影响 OpenSSH 服务器(sshd)的严重远程代码执行(RCE)漏洞,它允许未经身份验证的攻击者在受影响的 Linux 系统上以 root 权限执行任意代码。此漏洞尤其危险,因为它可以在不需要任何用户交互的情况下被利用,并且在互联网上存在大量易受攻击的 OpenSSH 实例。
Linux基础(二)
scold301的博客
08-14 710
文件相关命令、网络相关命令用法
[漏洞分析] CVE-2024-6387 OpenSSH核弹核的并不是很弹
Breeze的博客
07-02 4539
漏洞编号: CVE-2024-6387漏洞产品: OpenSSH - sshd影响范围: 8.5p1
Linux外网访问内网服务资源
11-26 2058
Linux外网访问内网资源
ssh服务升级openssh-8.7
qq_37246206的博客
09-03 1187
ssh服务升级 配置本地yum源(应为需要安装一些依赖包) 安装telnet服务(应为升级telnet服务之后,ssh连接会断开) 先看看tenlnet有没有安装 rpm -qa|grep telnet 如果有安装包则跳过安装环节,如果没有则执行如下命令安装 启动 systemctl enable xinetd.service systemctl enable telnet.socket systemctl start telnet.socket systemctl start xine
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huainian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值