CVE-2023-38408漏洞修复--openssh&openssl升级
哇卡哇卡aaa 2024-06-16 11:37:02 阅读 88
目录
一、CVE-2023-38408漏洞简单描述
二、升级前准备
三、升级openssl
四、升级openssh
五、升级失败恢复方法
一、CVE-2023-38408漏洞简单描述
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。
二、升级前准备
a、**操作前多开一个窗口,并使用top命令挂起,最好是先安装一个telnet server,防止升级失败后无法连接服务器,就只能去机房了
b、openssh-9.3p2必须要openssl 1.0.1及以上
c、升级ssh备份时同时备份 /etc/ssh 和 /usr/local/openssh 两个文件夹
d、升级ssl备份时同时备份 /etc/ssl 和 /usr/local/openssl 两个文件夹
三、升级openssl
1、备份:
mv /etc/ssl /etc/ssl@20231124
cp -r /usr/local/openssl /usr/local/openssl@20023124
2、下载上传解压:
下载地址:https://www.openssl.org/source/openssl-1.1.1u.tar.gz
上传下载好的安装包至服务器并解压:tar -xzvf openssl-1.1.1u.tar.gz
3、编译、安装:
进入解压路径:cd openssl-1.1.1u
编译安装: ./config shared && make && make install
4、查看版本:openssl version
5、报错解决,执行openssl version报错处理:
报错:openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
执行下面命令解决:
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/
查看版本:openssl version
四、升级openssh
1、备份:
mv /etc/ssh /etc/ssh@20231124
cp -r /usr/local/openssh /usr/local/openssh@20023124
2、下载及上传安装包解压
a、下载地址:
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz
b、上传并解压:tar -xzvf openssh-9.3p2.tar.gz
3、编译:
a、进入解压目录:cd openssh-9.3p2
b、编译:
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/lib64/ --with-zlib --with-ssl-engine --with-selinux
若编译报错:configure: error: SELinux support requires selinux.h header
则使用如下命令编译:
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/lib64/ --with-zlib --with-ssl-engine
4、安装:make && make install
查询版本:ssh -V
5、常见报错及问题处理
a、若编译报错提示:configure: error: Your OpenSSL headers do not match your library. Check config.log for details.
则在后面加上:--without-openssl-header-check
b、若报错:checking OpenSSL library version... configure: error: OpenSSL >= 1.0.1 required (have "10000003 (OpenSSL 1.0.0-fips 29 Mar 2010)")
则需升级ssl
c、若ssh -V还是老版本号
退出当前登录账号(命令:exit)或重新登陆后再查询即可:ssh -V
五、升级失败恢复方法
升级前一定要多开一个窗口并使用top命令挂起,防止升级失败后无法连接服务器,就只能去机房了(最好装一个telnet server备用)
ssh恢复:
升级前一定要备份好下面两个文件夹
/etc/ssh
/usr/local/openssh
升级失败后,上面两个备份文件恢复就行
ssl恢复:同理
/etc/ssl
/usr/local/openssl
=========================================================================
相关命令:
which ssh
which openssl
声明
本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。