linux的低版本中openssh三大漏洞的分析及修复方法
<strong>一:漏洞分析 <br /></strong>最近进行linux系统安全加固分析,进行漏洞扫描扫描分析,不扫不知道,一扫吓一跳,linux系统服务器的 <br />OPENSSH存在3大安全漏洞,祥如下: <br />1:OpenSSH GSSAPI 处理远端代码执行漏洞 <br />漏洞分类 守护进程类 <br />危险级别 高 <br />影响平台OpenSSH OpenSSH &lt; 4.4 <br />详细描述OpenSSH 4.3 之前的portable 版本存在远端代码执行漏洞. 攻击者可以利用race 无法处理特别制作 <br />的signal handler 而导致阻断服务. 如果通过GSSAPI 认证,攻击者可以在系统上执行任意代码. <br />修补建议 以下措施进行修补以降低威胁: 升级至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4 <br />released ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/ <br />参考网址# MLIST: 20060927 Announce: OpenSSH 4.4 released # <br />URL:http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=115939141729160&w=2 <br />2:OpenSSH GSSAPI认证终止信息泄露漏洞 <br /> <br />漏洞编号000a03fa <br />漏洞分类 守护进程类 <br />危险级别 中 <br />详细描述OpenSSH portable 版本GSSAPI 认证存在信息泄露漏洞. 远端攻击者可以利用GSSAPI 认证终止回传 <br />不同的错误讯息和确认usernames 非特定的平台进而攻击,攻击者可以获得usernames 的信息. <br />修补建议 升级至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4 released <br />http://www.openssh.com/txt/release-4.4 <br />参考网址* BUGTRAQ:20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh- <br />server * URL:http://www.securityfocus.com/archive/1/archive/1/447861/100/200/threaded <br />3:OpenSSH X连接会话劫持漏洞 <br />漏洞分类 守护进程类 <br />危险级别 中 <br />影响平台OpenSSH &lt; 4.3p2 <br />详细描述 在通过启用了X11转发的SSH登录时,sshd(8)没有正确地处理无法绑定到IPv4端口但成功绑定到IPv6端 <br />口的情况。在这种情况下,使用X11的设备即使没有被sshd(8)绑定也会连接到IPv4端口,因此无法安全的进行转 <br />发。 恶意用户可以在未使用的IPv4端口(如tcp 6010端口)上监听X11连接。当不知情的用户登录并创建X11转 <br />发时,恶意用户可以捕获所有通过端口发送的X11数据,这可能泄露敏感信息或允许以使用X11转发用户的权限执 <br />行命令。 <br />修补建议 建议您采取以下措施进行修补以降低威胁:OpenSSH已经提供更新的下载地址:# OpenSSH <br />openssh-3.9p1-skip-used.patch http://cvs.fedora.redhat.com/viewcvs/rpms/openssh/devel/openssh- <br />3.9p1- <br />skip-used.patch?rev=1.1&view=markup <br />参考网址* BUGTRAQ:20080325 rPSA-2008-0120-1 gnome-ssh-askpass openssh openssh-client openssh- <br />server * URL:http://www.securityfocus.com/archive/1/archive/1/490054/100/0/threaded <br />################################################################################# <br /><strong>二:漏洞修复</strong> <br />我的修复步骤! <br />通过以上的统计分析,我的第一想法就是升级OPENSSH 堵住安全漏洞,下面是我的升级方法步骤: <br />1 <br />wget http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-5.8p2.tar.gz <br />现在高版本OPENSSH安装程序,现在最高版本是6.0,还是安全起见,不使用最新版本,我选择5.8P2下载安装。 <br />2 <br />tar xvf openssh-5.8p2.tar.gz #不解释 <br />3 <br />cd openssh-5.8p2 # www.jb51.net 不解释 <br />4 <br />./configure --prefix=/usr --sysconfdir=/etc/ssh <br />下载的是源码包要编译一下,注意我的编译路径,我是讲OPENSSH安装在,原来的路径下,这样后面安装完成后 <br />就不用在从新copy SSHD服务到/etc/init.d/下了!,可以根据实际情况定制安装路径。 <br />5 <br />make #不解释 <br />6 <br />mv /etc/ssh/* /etc/sshbak/ <br />由于我使安装在原路径下,所以我将就的配置文件挪了一下位置,不然make install 会报错! <br />7 <br />make install #不解释 <br />8 <br />/etc/init.d/sshd restart <br />这里注意安全,如果你前面编译报错了,还强制安装,SSHD服务可能就起不来了,后果你懂得! <br />9 <br />chkconfig --add sshd #不解释 <br />10 <br />chkconfig sshd on #不解释 <br />如果你的sshd服务正常启动,那么恭喜你! <br />使用ssh -V 命令查看一下 <br />$ ssh -V <br />OpenSSH_5.8p2, OpenSSL 1.0.0-fips 29 Mar 2010 <br />已经成功升级至5.8版本! <br /><strong>三:故障排查 <br /></strong>故障排查: <br />./configure 之后报错报错排查, <br />安装gcc-4.5.1.tar.bz2 和openssl-devel <br />摘自 kjh2007abc 的BLOG
頁:
[1]