Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞

本次教程适用于:Linux(CentOS、Debian),macOS请勿使用。

文章部分参考:https://cloud.tencent.com/developer/article/1745705

 

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
封面

OpenSSH和OpenSSL

🔧OpenSSL

OpenSSL其实是一个开源的C函数,多用于加密依赖,很多程序的编译,需要OpenSSL作为依赖包。

 🖥OpenSSH

OpenSSH 是 SSH (Secure SHell) 协议免费开源实现类似于OpenJDK和OracleJDK的区别需要用到OpenSSL的函数库,所以在更新OpenSSH前,最好先更新OpenSSL。

SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。相对于传统方式,OpenSSH提供服务端后台程序和客户端工具,并且加密远程控制和文件传输过程中数据

简单地说,日常使用OpenSSH:远程控制服务器端,如:远程登录访问Linux的Terminal。且过程中加密传输。

OpenSSL 拒绝服务漏洞

拒绝服务漏洞,代号为:CVE-2021-3449

  • 主要是一些操作可能会让OpenSSL TLS 强行停止。【我感觉这个漏洞不是很严重啦,但是大家都觉得很严重……那还是有必要修复一下╮( ̄▽ ̄””)╭】
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
腾讯云后台警告⚠️

解决方法很简单:升级OpenSSL版本

XMSS Key 解析整数溢出漏洞

XMSS Key漏洞,代号为:CVE-2019-16905

  • 主要是非法用户,可以通过此漏洞,跳过OpenSSH的认证,远程登录到你服务器【不过计算难度挺高的,而且条件苛刻……】。

但是,总归是重大漏洞,需要修复:

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
腾讯云后台警告⚠️

解决方法很简单:升级OpenSSH版本

🚀升级OpenSSL

升级的方法很简单:

下载新版本OpenSSL源码

这边推荐下载地址https://ftp.openssl.org/source

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
下载文件

比如,我这边下载openssl-1.1.1k.tar.gz。到Linux控制台内,使用wget下载即可(你也可以使用宝塔软件下载,但是记得权限问题):

wget 'https://ftp.openssl.org/source/openssl-1.1.1k.tar.gz'
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
使用wget下载
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
下载OpenSSL成功

之后,我们解压这个tar.gz文件夹,并进入:

# 使用tar工具包解压
tar -xf openssl-1.1.1k.tar.gz
# 进入文件夹
cd openssl-1.1.1k
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
进入SSL文件夹

备份旧版本OpenSSL

为了避免编译过程中,出现意外(如:远程SSH突然断连,导致编译失败);我们提前备份旧版本OpenSSL,给回滚“留条路”(如果你之前都没有安装OpenSSL,这步可以跳过):

# 备份OpenSSL到用户目录,并重命名为openBak
mv openssl ~/openBak

编译安装新版本OpenSSL

刚刚我们已经在新的OpenSSL目录,所以我们可以直接开始编译。首先,设置配置。我们使用默认的即可:

./config
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
设置/config

之后,进行make编译操作:

make

最后,进行make install安装操作:

make install
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
make操作ing
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
make install操作ing

操作完成后/usr/bin下重新有openssl文件。我们只需要重新建立软连接即可:

ln -s /usr/local/bin/openssl /usr/bin/openssl
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
重新建立软链接🔗

到此,OpenSSL升级完成。重新腾讯云安全检测:

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
修复OpenSSL成功

升级OpenSSH

OpenSSH的升级的方法也很简单:

  • 下载新版本OpenSSH源码
  • 备份(移除)旧版本OpenSSH
  • 编译安装新版本OpenSSH
  • 重启OpenSSH进程服务(重要‼️)

下载新版本OpenSSH源码

同样,这边推荐下载地址:http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/

和OpenSSL的下载方法一样,不再赘述:

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
下载OpenSSH成功

之后,我们解压tar.gz文件后,进入该目录以备后续编译:

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
进入OpenSSH目录

备份(移除)旧版本OpenSSH

我们要移除旧版本的OpenSSH配置:

# 备份旧文件
cp /etc/ssh ~/sshBak
# 删除旧文件
rm -rf /etc/ssh/*

编译安装新版本OpenSSH

刚刚我们已经在新的OpenSSH目录,所以我们可以直接开始编译。首先,设置配置。我们使用默认的即可:

./configure

之后,进行make编译操作:

make

最后,进行make install安装操作:

make install
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
make(SSH)
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
make install(SSH)

这个时候,其实OpenSSH已经更新完成,但是这个时候重启SSH,你可能就无法登录了嗷。

重启OpenSSH进程服务(重要‼️)

这个时候,我们扫描SSH进程:

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
扫描SSH进程

因为我没改SSH远程端口,所以我扫描PID是,是:

lsof -i:22

根据返回的PIDkill掉SSH进程:

kill 28259
Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
kill掉进

之后,SSH会自动断开。重新连接即可。

到处,OpenSSH升级成功,重新腾讯云安全检测:

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞
修复OpenSSH成功
收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

栗子博客 新闻 Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞 https://www.lizi.tw/news/21989.html

建筑工地上施工员,闲暇时弄个博客打发时间,

常见问题
  • 1、杰齐1.7仅适用于PHP5.2 2、需Zend支持 3、尽量使用宝塔面板 4、尽量使用Windows 系统,关关对Linux支持不太友好。
查看详情

相关文章

评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务

Linux升级OpenSSH和OpenSSL,解决XMSS Key 解析整数溢出漏洞、OpenSSL 拒绝服务漏洞-海报

分享本文封面