openssh漏洞升級(jí)方案

文檔編號(hào)：項(xiàng)目代號(hào)：openssh漏洞升級(jí)方案CIMER江蘇君立華域信息安全技術(shù)有限公司2014年6月10日文檔信息表1概述為解決openssh版本漏洞。2評估范圍及漏洞2評估范圍及漏洞■EJ此次信息安全評估針對全網(wǎng)IP,檢查手段為漏洞掃描。本次漏洞掃描采用綠盟極光漏洞掃描器對各域生產(chǎn)資產(chǎn)進(jìn)行細(xì)致深入的漏洞檢測、分析。此文檔針對openssh漏洞升級(jí)進(jìn)行說明。3漏洞信息評估時(shí)間：2014年6月7日-6月8日openssh具體漏洞信息如下：TOC\o"1-5"\h\z漏洞名M出現(xiàn)次二［高］ 口口皿SSH緩沖區(qū)管理操作遠(yuǎn)程溢出漏洞 1［高］ 口口巳展成存在多個(gè)緩沖區(qū)管理錯(cuò)誤漏洞 1更］ 口好展即復(fù)制塊遠(yuǎn)程拒絕服務(wù)漏洞 露匝］ 0口已nSSHJ-FAKE授權(quán)問題漏洞(CVE-2Q104478) 79匝］ Fort&bm0口巳nSSHGS弘FI遠(yuǎn)程代碼執(zhí)行漏洞(。迎-2。。6-洸51： 39［高］ 0口已nSSH'schnorr./遠(yuǎn)程內(nèi)存破壞漏洞(CVE-2014T692) 1Q3［中］ 口好展SHX連接會(huì)話劫持漏洞 源［中］ 。口皿SSH陳舊證書簽名信息泄露漏洞(C迎-實(shí)11-QS費(fèi)) 4［中］ 口口巳nSSH默認(rèn)服務(wù)器配置拒絕服務(wù)漏洞(CVE-WW-SIQF) 11S［中］ 0口已nSSHgMB表達(dá)式拒絕服務(wù)漏洞(C迎-2QW-47SS) 81［中］ 可移植?？趍匪HG%虹1認(rèn)證終止信息泄露漏洞 23［中］ ?？谝裯SSH繞過Fore已*mmand指令漏洞 3［中］ 0口巳nSSHS您令遠(yuǎn)程信息泄露漏洞(CVE-2QQ7-矣43) 47541圖一：openssh漏洞列表經(jīng)測試，linux系統(tǒng)上，將openssh升級(jí)到6.6版本可解決以上所有漏洞(不包括新出現(xiàn)的漏洞）。4升級(jí)步驟說明：在升級(jí)安裝過程中不要復(fù)制、黏貼文中的內(nèi)容，不同版本會(huì)有些小差別，會(huì)給您帶來不便，請根據(jù)提示手動(dòng)操作。軟件下載：升級(jí)openssh前需先升級(jí)安裝openssl下載地址如下：/source/選擇下載openssl-1.0.1h.tar.gz（最新版）/pub/OpenBSD/OpenSSH/portable/下載openssh-6.6p1.tar.gz升級(jí)操作前，請先開啟telnet服務(wù)，并以telnet的方式登錄到服務(wù)器查看原openssl相關(guān)文件，把相關(guān)信息記錄下來，由于是采用源碼方式安裝，后續(xù)需要手動(dòng)更新部分庫文件#rpm-qlopenssl查找原openssl的庫文件路徑，注意系統(tǒng)版本是32位還是64位#ll/lib64/libcrypto.so.*ll/lib64/libssl.so.*#ll/usr/lib64/libcrypto.so查找原openssl相關(guān)文件，包括動(dòng)態(tài)連接庫文件，可執(zhí)行文件#find/-nameopenssl移動(dòng)備份原頭文件#mv/usr/include/openssl/usr/include/oldssl用于備份原庫文件mkdir/lib/oldssl刪除原庫文件，準(zhǔn)備升級(jí)，這里只是移動(dòng)了做備份并沒有直接刪除mv/lib/libssl.so.0.9.8b/lib/oldssl/ 〃注意標(biāo)紅字體文件位置確定openssl軟件包中包含的庫文件

#rpm-qlopenssl 〃第四步已經(jīng)找到的10.移動(dòng)庫文件，連接文件可以直接刪除，注意標(biāo)紅字體文件，不同系統(tǒng)可10.能文件名有差別#mv/lib/libcrypto.so.1/lib/oldssl/#mv/lib/ibssl.so.0.9.8b/lib/oldssl/#mv/lib/libssl.so.1/lib/oldssl/11.刪除源文件11.刪除源文件#ll/usr/bin/openssl#mv/usr/bin/openssl/usr/bin/BAKopenssl#rm-rf/usr/lib/libcrypto.so#ll/usr/bin/openssl#mv/usr/bin/openssl/usr/bin/BAKopenssl#rm-rf/usr/lib/libcrypto.so12.解壓新文件12.解壓新文件#tarxzfopenssl-1.0.1g.tar.gz#cdpenssl-1.0.1g#tarxzfopenssl-1.0.1g.tar.gz#cdpenssl-1.0.1g13.編譯安裝13.編譯安裝#./config#make#makeinstall這樣默認(rèn)安裝在/usr/local/ssl/目錄#/usr/local/ssl/bin/opensslversion#cp/usr/local/ssl/bin/openssl/usr/bin#opensslversion〃回到根目錄下再執(zhí)行一次#ldd/usr/bin/openssl14.恢復(fù)原連接文件到新的庫，注意此處文件名不同，自己更正14.ln-s/usr/local/ssl/lib/libcrypto.so.0.9.8/lib/libcrypto.so.4ln-s/usr/local/ssl/lib/libssl.so.0.9.8/lib/libssl.so.4ln-s/usr/local/ssl/lib/libcrypto.so.0.9.8/usr/lib/libcrypto.soln-s/usr/local/ssl/lib/libssl.so.0.9.8/usr/lib/libssl.soln-s/usr/local/ssl/include/openssl/usr/include/openssl現(xiàn)在用新的來替代它了。15.最后要刷新系統(tǒng)的動(dòng)態(tài)連接庫配置#echo/usr/local/ssl/lib>>/etc/ld.so.confldconfig-v升級(jí)openssh，同樣查看相關(guān)文件，以便后續(xù)更新rpm-qlopenssh解壓、編譯、安裝tarxzfopenssh-4.7p1.tar.gzcdopenssh-4.7p1./configuremakemakeinstall記住完成后提示信息：完成安裝，生成了密鑰對以及安裝路徑等信息查看版本信息等/usr/local/bin/ssh-Vmv/usr/bin/ssh/usr/bin/oldsshcp/usr/local/bin/ssh/usr/bin/ssh-V版本號(hào)看到都已經(jīng)更新了，在 makeinstall最后可以看到提示信息OpenSSH就被安裝在/etc/local里面了，所有有關(guān)OpenSSH的配置文件都放在/usr/local/etc目錄下，修改配置文件/usr/local/etc/sshd_config#vi/usr/local/etc/sshd_config把以下參數(shù)前面的注釋#去掉Port22Protocol2,1RhostsRSAAuthenticationno最后修改一下/etc/init.d/sshd不然不能啟動(dòng)以下參數(shù)是和原來不一樣的，主要是路徑改變了，注意安裝文件路徑#[-f/etc/sysconfig/sshd]&&./etc/sysconfig/sshdKEYGEN=/usr/local/bin/ssh-keygenSSHD=/usr/local/sbin/sshdRSA1_KEY=/usr/local/etc/ssh_host_keyRSA_KEY=/usr/local/etc/ssh_host_rsa_keyDSA_KEY=/usr/local/etc/ssh_host_dsa_keyPID_F