openssh漏洞升級方案

文檔編號：項目代號：openssh漏洞升級方案CIMER江蘇君立華域信息安全技術有限公司2014年6月10日文檔信息表1概述為解決openssh版本漏洞。2評估范圍及漏洞2評估范圍及漏洞■EJ此次信息安全評估針對全網(wǎng)IP,檢查手段為漏洞掃描。本次漏洞掃描采用綠盟極光漏洞掃描器對各域生產(chǎn)資產(chǎn)進行細致深入的漏洞檢測、分析。此文檔針對openssh漏洞升級進行說明。3漏洞信息評估時間：2014年6月7日-6月8日openssh具體漏洞信息如下：TOC\o"1-5"\h\z漏洞名M出現(xiàn)次二［高］ 口口皿SSH緩沖區(qū)管理操作遠程溢出漏洞 1［高］ 口口巳展成存在多個緩沖區(qū)管理錯誤漏洞 1更］ 口好展即復制塊遠程拒絕服務漏洞 露匝］ 0口已nSSHJ-FAKE授權問題漏洞(CVE-2Q104478) 79匝］ Fort&bm0口巳nSSHGS弘FI遠程代碼執(zhí)行漏洞(。迎-2。。6-洸51： 39［高］ 0口已nSSH'schnorr./遠程內(nèi)存破壞漏洞(CVE-2014T692) 1Q3［中］ 口好展SHX連接會話劫持漏洞 源［中］ 。口皿SSH陳舊證書簽名信息泄露漏洞(C迎-實11-QS費) 4［中］ 口口巳nSSH默認服務器配置拒絕服務漏洞(CVE-WW-SIQF) 11S［中］ 0口已nSSHgMB表達式拒絕服務漏洞(C迎-2QW-47SS) 81［中］ 可移植?？趍匪HG%虹1認證終止信息泄露漏洞 23［中］ ?？谝裯SSH繞過Fore已*mmand指令漏洞 3［中］ 0口巳nSSHS您令遠程信息泄露漏洞(CVE-2QQ7-矣43) 47541圖一：openssh漏洞列表經(jīng)測試，linux系統(tǒng)上，將openssh升級到6.6版本可解決以上所有漏洞(不包括新出現(xiàn)的漏洞）。4升級步驟說明：在升級安裝過程中不要復制、黏貼文中的內(nèi)容，不同版本會有些小差別，會給您帶來不便，請根據(jù)提示手動操作。軟件下載：升級openssh前需先升級安裝openssl下載地址如下：/source/選擇下載openssl-1.0.1h.tar.gz（最新版）/pub/OpenBSD/OpenSSH/portable/下載openssh-6.6p1.tar.gz升級操作前，請先開啟telnet服務，并以telnet的方式登錄到服務器查看原openssl相關文件，把相關信息記錄下來，由于是采用源碼方式安裝，后續(xù)需要手動更新部分庫文件#rpm-qlopenssl查找原openssl的庫文件路徑，注意系統(tǒng)版本是32位還是64位#ll/lib64/libcrypto.so.*ll/lib64/libssl.so.*#ll/usr/lib64/libcrypto.so查找原openssl相關文件，包括動態(tài)連接庫文件，可執(zhí)行文件#find/-nameopenssl移動備份原頭文件#mv/usr/include/openssl/usr/include/oldssl用于備份原庫文件mkdir/lib/oldssl刪除原庫文件，準備升級，這里只是移動了做備份并沒有直接刪除mv/lib/libssl.so.0.9.8b/lib/oldssl/ 〃注意標紅字體文件位置確定openssl軟件包中包含的庫文件

#rpm-qlopenssl 〃第四步已經(jīng)找到的10.移動庫文件，連接文件可以直接刪除，注意標紅字體文件，不同系統(tǒng)可10.能文件名有差別#mv/lib/libcrypto.so.1/lib/oldssl/#mv/lib/ibssl.so.0.9.8b/lib/oldssl/#mv/lib/libssl.so.1/lib/oldssl/11.刪除源文件11.刪除源文件#ll/usr/bin/openssl#mv/usr/bin/openssl/usr/bin/BAKopenssl#rm-rf/usr/lib/libcrypto.so#ll/usr/bin/openssl#mv/usr/bin/openssl/usr/bin/BAKopenssl#rm-rf/usr/lib/libcrypto.so12.解壓新文件12.解壓新文件#tarxzfopenssl-1.0.1g.tar.gz#cdpenssl-1.0.1g#tarxzfopenssl-1.0.1g.tar.gz#cdpenssl-1.0.1g13.編譯安裝13.編譯安裝#./config#make#makeinstall這樣默認安裝在/usr/local/ssl/目錄#/usr/local/ssl/bin/opensslversion#cp/usr/local/ssl/bin/openssl/usr/bin#opensslversion〃回到根目錄下再執(zhí)行一次#ldd/usr/bin/openssl14.恢復原連接文件到新的庫，注意此處文件名不同，自己更正14.ln-s/usr/local/ssl/lib/libcrypto.so.0.9.8/lib/libcrypto.so.4ln-s/usr/local/ssl/lib/libssl.so.0.9.8/lib/libssl.so.4ln-s/usr/local/ssl/lib/libcrypto.so.0.9.8/usr/lib/libcrypto.soln-s/usr/local/ssl/lib/libssl.so.0.9.8/usr/lib/libssl.soln-s/usr/local/ssl/include/openssl/usr/include/openssl現(xiàn)在用新的來替代它了。15.最后要刷新系統(tǒng)的動態(tài)連接庫配置#echo/usr/local/ssl/lib>>/etc/ld.so.confldconfig-v升級openssh，同樣查看相關文件，以便后續(xù)更新rpm-qlopenssh解壓、編譯、安裝tarxzfopenssh-4.7p1.tar.gzcdopenssh-4.7p1./configuremakemakeinstall記住完成后提示信息：完成安裝，生成了密鑰對以及安裝路徑等信息查看版本信息等/usr/local/bin/ssh-Vmv/usr/bin/ssh/usr/bin/oldsshcp/usr/local/bin/ssh/usr/bin/ssh-V版本號看到都已經(jīng)更新了，在 makeinstall最后可以看到提示信息OpenSSH就被安裝在/etc/local里面了，所有有關OpenSSH的配置文件都放在/usr/local/etc目錄下，修改配置文件/usr/local/etc/sshd_config#vi/usr/local/etc/sshd_config把以下參數(shù)前面的注釋#去掉Port22Protocol2,1RhostsRSAAuthenticationno最后修改一下/etc/init.d/sshd不然不能啟動以下參數(shù)是和原來不一樣的，主要是路徑改變了，注意安裝文件路徑#[-f/etc/sysconfig/sshd]&&./etc/sysconfig/sshdKEYGEN=/usr/local/bin/ssh-keygenSSHD=/usr/local/sbin/sshdRSA1_KEY=/usr/local/etc/ssh_host_keyRSA_KEY=/usr/local/etc/ssh_host_rsa_keyDSA_KEY=/usr/local/etc/ssh_host_dsa_keyPID_F