Centos7.9 OpenSSH 安全漏洞(CVE-2023-38408)

已于 2024-04-09 23:14:43 修改
阅读量1.8k 收藏 6
点赞数 3
文章标签: linux 运维 centos
于 2024-04-09 23:06:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15603633/article/details/137571259
版权

因为CVE-2023-38408,需要升级升级OpenSSH版本:

yum groupinstall -y "Development Tools"
yum install -y zlib-devel openssl-devel wget

cp /etc/ssh/sshd_config  /etc/ssh/sshd_config.bak
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key

cd /tmp
wget -c https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz
tar -xzf  openssh-9.3p2.tar.gz
cd openssh-9.3p2
yum install -y pam-devel libselinux-devel

./configure --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh

make && make install

成功地用9.3p2编译了ssh 和 sshd,所以我得到了两个版本的sshd:

/usr/sbin/sshd OpenSSH_7.4p1
/usr/local/sbin/sshd OpenSSH_9.3

接下来,我应该为新版本的sshd更改 /usr/lib/systemd/system/sshd.service 执行路径。

[Unit]
Description=OpenSSH server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target sshd-keygen.service
Wants=sshd-keygen.service

[Service]
Type=notify
EnvironmentFile=/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D $OPTIONS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

/usr/sbin/sshd 切换到 /usr/local/sbin/sshd,重新加载 systemctl daemon-reload 并且重启 service sshd restart

在执行 sshd -t 时,可能会出现:

/etc/ssh/sshd_config line 79: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 80: Unsupported option GSSAPICleanupCredentials

注释掉 /etc/ssh/sshd_config 中第 79、80 行。

OpenSSH 安全漏洞(CVE-2023-38408)修复,版本升级
一别的博客
11-05 1783
OpenSSH 安全漏洞(CVE-2023-38408)修复,版本升级
OpenSSH 安全漏洞(CVE-2023-38408)解决方案
weixin_52956719的博客
11-05 2722
升级到不受影响的 OpenSSH 版本。目前,OpenSSH 9.3 及更高版本已经修复了这个漏洞。如果无法立即升级 OpenSSH,可以临时禁用 GSSAPI 认证来减轻风险。3. 删除低版本OpenSSH的 rpm 包。1.安装编译所需依赖软件包。8. 给予配置文件执行权限。10.启动 SSH 服务。
centos8的openssh9.9p2 RPM包,解决漏洞CVE-2025-26465 和 CVE-2025-26466
03-04
里面包含了升级包、升级注意事项等文件 openssh-9.9p2-1.el8.x86_64.rpm openssh-clients-9.9p2-1.el8.x86_64.rpm openssh-server-9.9p2-1.el8.x86_64.rpm centos8升级openssh9.9p2.docx
OpenSSH 安全漏洞(CVE-2023-38408)
最新发布
love_lingling的博客
04-10 663
【代码】OpenSSH 安全漏洞(CVE-2023-38408)
CVE-2023-38408漏洞修复--openssh&openssl升级
热门推荐
weixin_48493949的博客
12-01 1万+
报错:openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory。c、升级ssh备份时同时备份 /etc/ssh 和 /usr/local/openssh 两个文件夹。b、上传并解压:tar -xzvf openssh-9.3p2.tar.gz。则在后面加上:--without-openssl-header-check。
Centos7.9刚安装的新系统有什么安全漏洞
weixin_40191861的博客
04-20 506
1、采用漏洞扫描工具对新安装的Centos7.9进行安全扫描。
CVE-2023-38408漏洞修复--openssh&openssl升级,你头秃都没想到还能这样吧
m0_60666841的博客
04-05 1768
为了做好运维面试路上的助攻手,特整理了上百道。
Openssh高危漏洞CVE-2023-38408修复方案(1)
2401_84968612的博客
05-13 769
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
CentOS 7 升级OpenSSH 9.6p1解决安全漏洞CVE-2023-51384、CVE-2023-51385
weixin_45371131的博客
02-27 2206
openssh9.6P1,
openssh-9.3p2-centos7-x86-64-rpm.zip
07-24
适用于centos 7 x86_64 操作系统 适用于redhat 7 系列操作系统 二进制rpm包 openssh 9.3p2 版本 修复安全漏洞 CVE-2023-38408,当前20237月24日最新openssh版本
CVE-2023-38408漏洞修复 - 升级openssl和openssh
老杜的博客
03-27 1万+
CVE-2023-38408 漏洞是OpenSSH 代码问题漏洞修复,升级openssl和openssh
解决OpenSSH 远程代码执行漏洞自动升级脚本-centos7.9
07-09
解决OpenSSH 远程代码执行漏洞自动升级脚本-centos7.9
Centos7.9-升级openssh9.7p1,修复安全漏洞
weixin_63294563的博客
03-19 3409
首先在ansible主控端,创建个关于升级openssh的目录,将需要升级的ssh9.7p1tar包下载至该目录;在/etc/ansible/hosts主机清单填写想要升级的那些主机,可写ip地址,域名;最后撰写playbook剧本:首先调用yum模块在所有主机通过安装所需要升级的依赖,再调用copy模块将主控端的tar包,脚本分发到目标主机,脚本分发过去时并没有执行权限,再调用file模块授权分发过去的脚本赋予执行权限,最后调用shell模块执行被控端的脚本升级openssh9.7p1版本。
CVE-2023-38408漏洞修复--openssh&openssl升级
m0_61369275的博客
04-07 1114
为了做好运维面试路上的助攻手,特整理了上百道。
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
10-16 3705
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
【漏洞修复】OpenSSH-ssh-agent 越权访问CVE-2023-38408
Meepoljd的博客
08-17 3949
打包Openssh9.3p2的RPM包并使用yum进行生产环境ssh版本升级
CentOS7.9.2009解决漏洞OpenSSH升级(7.4p1升9.5p1或9.9p1)
u012261415的博客
11-01 533
2、下载openssh(我下载的是OpenSSH_9.5p1)3、查看原来的版本,有一个对比sshd -V4、先准备好gcc、zlib、openssl的环境5、对原来的openssh相关的文件进行备份。
OpenSSH 安全漏洞CVE-2023-38408
03-29
<think>嗯,用户想了解OpenSSHCVE-2023-38408漏洞详情和修复方法。首先,我得查一下这个漏洞的具体信息。根据提供的引用,引用[1]提到这是一个代码问题漏洞,需要升级到最新版本,并且在sshd_config中添加HostKeyAlgorithms。用户可能在升级过程中遇到了问题,比如客户端连接时报错“no hostkey alg”,所以需要确认修复步骤是否正确。 接下来,需要详细说明漏洞的影响。这个漏洞可能允许攻击者通过特定的主机密钥算法绕过安全验证,导致中间人攻击。关键点在于支持的算法列表不完善,导致客户端无法找到有效的主机密钥。修复方法包括升级OpenSSH到修复版本,并配置HostKeyAlgorithms参数。需要确保用户正确安装新版本,并修改配置文件,然后重启服务。 可能用户遇到的常见问题包括依赖项冲突或配置文件错误,需要提醒他们检查安装步骤和配置语法。此外,生成相关问题时,应该考虑用户可能还想知道如何验证修复是否成功,或者是否有其他相关漏洞需要处理,比如CVE-2023-51384和51385,引用[2]提到了这些,可能需要一并说明。</think>### OpenSSH CVE-2023-38408 漏洞详情及修复方案 #### 漏洞描述 CVE-2023-38408OpenSSH 中存在的一个代码逻辑缺陷,主要影响客户端与服务器之间的密钥交换过程。当客户端尝试连接未明确配置支持的密钥算法时,可能触发`no hostkey alg`错误[^1]。此漏洞可能被攻击者利用,通过中间人攻击(MitM)绕过安全验证,导致未授权的访问或数据泄露。 #### 漏洞影响范围 - **受影响版本**:OpenSSH 8.9 及更早版本 - **触发条件**:服务器未正确配置支持的密钥算法(如缺少`ssh-rsa`等),且客户端请求的算法与服务器配置不匹配。 --- #### 修复方案 1. **升级 OpenSSH 至安全版本** 通过官方渠道升级到修复版本(如 OpenSSH 9.6p1 或更高),以下是 CentOS 7 的升级示例: ```bash # 卸载旧版本(注意依赖处理) rpm -e openssh-clients --nodeps rpm -e openssh-server --nodeps rpm -e openssh-9.4p1 --nodeps # 安装新版本 rpm -ivh openssh-9.6p1-1.el7.x86_64.rpm \ openssh-server-9.6p1-1.el7.x86_64.rpm \ openssh-clients-9.6p1-1.el7.x86_64.rpm # 验证版本 ssh -V ``` 引用[2]中提供了类似的操作步骤。 2. **配置`sshd_config`文件** 在`/etc/ssh/sshd_config`中明确指定支持的密钥算法: ```bash HostKeyAlgorithms ssh-rsa,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521 ``` 保存后重启服务: ```bash systemctl restart sshd ``` 3. **验证修复** 通过客户端连接测试是否消除`no hostkey alg`错误: ```bash ssh -vvv user@server_ip ``` --- #### 注意事项 - **依赖冲突**:升级时若出现依赖问题,需使用`--nodeps`强制卸载旧包(需谨慎操作)。 - **兼容性**:`ssh-rsa`算法因安全性问题逐步淘汰,建议优先使用`ed25519`或`ecdsa`[^1]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值