| 一:漏洞分析 最近進行linux系統安全加固分析,進行漏洞掃描掃描分析,不掃不知道,一掃嚇一跳,linux系統服務器的 OPENSSH存在3大安全漏洞,祥如下: 1:OpenSSH GSSAPI 處理遠端代碼執行漏洞 漏洞分類 守護進程類 危險級別 高 影響平臺OpenSSH OpenSSH < 4.4 詳細描述OpenSSH 4.3 之前的portable 版本存在遠端代碼執行漏洞. 攻擊者可以利用race 無法處理特別制作 的signal handler 而導致阻斷服務. 如果通過GSSAPI 認證,攻擊者可以在系統上執行任意代碼. 修補建議 以下措施進行修補以降低威脅: 升級至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4 released ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/ 參考網址# MLIST:[openssh-unix-dev] 20060927 Announce: OpenSSH 4.4 released # URL:http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=115939141729160&w=2 2:OpenSSH GSSAPI認證終止信息泄露漏洞 漏洞編號000a03fa 漏洞分類 守護進程類 危險級別 中 詳細描述OpenSSH portable 版本GSSAPI 認證存在信息泄露漏洞. 遠端攻擊者可以利用GSSAPI 認證終止回傳 不同的錯誤訊息和確認usernames 非特定的平臺進而攻擊,攻擊者可以獲得usernames 的信息. 修補建議 升級至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4 released http://www.openssh.com/txt/release-4.4 參考網址* BUGTRAQ:20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh- server * URL:http://www.securityfocus.com/archive/1/archive/1/447861/100/200/threaded 3:OpenSSH X連接會話劫持漏洞 漏洞分類 守護進程類 危險級別 中 影響平臺OpenSSH < 4.3p2 詳細描述 在通過啟用了X11轉發的SSH登錄時,sshd(8)沒有正確地處理無法綁定到IPv4端口但成功綁定到IPv6端 口的情況。在這種情況下,使用X11的設備即使沒有被sshd(8)綁定也會連接到IPv4端口,因此無法安全的進行轉 發。 惡意用戶可以在未使用的IPv4端口(如tcp 6010端口)上監聽X11連接。當不知情的用戶登錄并創建X11轉 發時,惡意用戶可以捕獲所有通過端口發送的X11數據,這可能泄露敏感信息或允許以使用X11轉發用戶的權限執 行命令。 修補建議 建議您采取以下措施進行修補以降低威脅:OpenSSH已經提供更新的下載地址:# OpenSSH openssh-3.9p1-skip-used.patch http://cvs.fedora.redhat.com/viewcvs/rpms/openssh/devel/openssh- 3.9p1- skip-used.patch?rev=1.1&view=markup 參考網址* BUGTRAQ:20080325 rPSA-2008-0120-1 gnome-ssh-askpass openssh openssh-client openssh- server * URL:http://www.securityfocus.com/archive/1/archive/1/490054/100/0/threaded ################################################################################# 二:漏洞修復 我的修復步驟! 通過以上的統計分析,我的第一想法就是升級OPENSSH 堵住安全漏洞,下面是我的升級方法步驟: 1 wget http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-5.8p2.tar.gz 現在高版本OPENSSH安裝程序,現在最高版本是6.0,還是安全起見,不使用最新版本,我選擇5.8P2下載安裝。 2 tar xvf openssh-5.8p2.tar.gz #不解釋 3 cd openssh-5.8p2 # www.jb51.net 不解釋 4 ./configure --prefix=/usr --sysconfdir=/etc/ssh 下載的是源碼包要編譯一下,注意我的編譯路徑,我是講OPENSSH安裝在,原來的路徑下,這樣后面安裝完成后 就不用在從新copy SSHD服務到/etc/init.d/下了!,可以根據實際情況定制安裝路徑。 5 make #不解釋 6 mv /etc/ssh/* /etc/sshbak/ 由于我使安裝在原路徑下,所以我將就的配置文件挪了一下位置,不然make install 會報錯! 7 make install #不解釋 8 /etc/init.d/sshd restart 這里注意安全,如果你前面編譯報錯了,還強制安裝,SSHD服務可能就起不來了,后果你懂得! 9 chkconfig --add sshd #不解釋 10 chkconfig sshd on #不解釋 如果你的sshd服務正常啟動,那么恭喜你! 使用ssh -V 命令查看一下 [health@jumpserver-12 ~]$ ssh -V OpenSSH_5.8p2, OpenSSL 1.0.0-fips 29 Mar 2010 已經成功升級至5.8版本! 三:故障排查 故障排查: ./configure 之后報錯報錯排查, 安裝gcc-4.5.1.tar.bz2 和openssl-devel 摘自 kjh2007abc 的BLOG |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
