OpenSSH 升级到9.8P1 （CVE-2024-6387 OpenSSH Server 远程代码执行漏洞）

以阿里云服务器Alios为例

漏洞背景

OpenSSH 是一套用于安全网络通信的工具，提供了包括远 程登录、远程执行命令、文件传输等功能。2024 年 7 月 1 日， OpenSSH 官方发布安全通告，披露 CVE-2024-6387 OpenSSH Server 远程代码执行漏洞。 

影响范围

OpenSSH < 4.4p1（未更新历史漏洞 CVE-2006-5051、CVE2008-4109 的补丁）8.5p1 <= OpenSSH < 9.8p1

安全建议

官方已发布修复方案，受影响的用户建议更新至安全版 本。下载链接：https://www.openssh.com/releasenotes.html,遗憾的是目前各操作系统的软件源均不支持openssh更新到最新版本，只能手动更新了。幸好更新并不复杂，具体步骤如下:

一、现有环境

[root@localhost /]# ssh -V

OpenSSH\_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

二、安装openssl （要求>= 1.1.1 ,如果没有大于1.1.1就要先编译openssl）

wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1w.tar.gz

卸载原有OpenSSL

yum remove openssl

编译安装openssl

tar -xzvf openssl-1.1.1w.tar.gz

cd openssl-1.1.1w/

./config --prefix=/usr

make && make install

查看openssl版本

\[root@localhost\]# openssl version

OpenSSL 1.1.1w 11 Sep 2023

三、安装openssh 9.8p1

1.下载安装包

wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.8.tar.gz

2.解压安装包

tar -zxvf openssh-9.8p1.tar.gz

3.备份配置文件(注意备份文件路径根据实际情况选择，后面会用到)

cp /etc/ssh/sshd\_config /home/ssh/sshd\_config.bak

cp /etc/pam.d/sshd /home/ssh/sshd.bak

4.卸载原来的openssh

rpm -e --nodeps \`rpm -qa | grep openssh\`

rpm -qa openssh

5.编译安装文件

cd /soft/openssh-9.8p1

./configure --prefix=/usr/local/openssh9.8p1 --exec-prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-selinux --with-tcp-wrappers --with-ssl-dir=/usr/local/ssl --without-hardening

6.执行安装编译文件

make && make install

7.安装过程中会出现如下的错误信息是因为缺少文件权限

Permissions 0640 for '/etc/ssh/ssh\_host\_rsa\_key' are too open.

Permissions 0640 for '/etc/ssh/ssh\_host\_ecdsa\_key' are too open.

Permissions 0640 for '/etc/ssh/ssh\_host\_ed25519\_key' are too open.

8.调整文件权限

chmod 600 /etc/ssh/ssh\_host\_rsa\_key /etc/ssh/ssh\_host\_ecdsa\_key /etc/ssh/ssh\_host\_ed25519\_key

9.SSH配置调整

# 拷贝新生成的sshd
cp -a /home/openssh-9.8p1/contrib/redhat/sshd.init /etc/init.d/sshd（根据文件实际存储路径选择）

chmod u+x /etc/init.d/sshd

10.回拷备份配置文件（同3.备份配置文件路径相反）

cp /home/ssh/sshd\_config.bak /etc/ssh/sshd\_config

cp /home/ssh/sshd.bak /etc/pam.d/sshd

11.添加ssh到开机启动项，重启sshd服务

chkconfig --add sshd

chkconfig sshd on

systemctl restart sshd

12.验证版本

[root@localhost /\]# ssh -V

OpenSSH\_9.8p1, OpenSSL 1.1.1w 11 Sep 2023

参考原文地址：https://blog.csdn.net/m0_56923443/article/details/140136722