最近几天OpenSSH爆出了一个高危漏洞:CVE-2024-6387,影响到了很多的Linux服务器系统。明月第一时间给所有的代维客户服务器进行了排查和漏洞修复,因此耽搁了一些时间。直到今天才算抽出空来给大家分享一下。严格上来说这个漏洞的危险性还是极高的,说人话就是你的 Linux 服务器可以被随时入侵成为别人手里的肉鸡,至于这个肉鸡被人家用来干啥就是人家的自由了!
OpenSSH漏洞CVE-2024-6387概述
描述:这是一个针对CVE-2024-6387的漏洞利用,目标是 OpenSSH 服务器(sshd)中的信号处理程序竞争条件。该漏洞存在于基于 glibc 的 Linux 系统上,允许远程执行代码并获取 root 权限,因为在 SIGALRM 处理程序中调用了不安全的异步信号函数。
概要:该漏洞利用了 OpenSSH sshd 中的 SIGALRM 处理程序竞争条件:
- 受影响版本:OpenSSH 8.5p1 到 9.8p1。
- 漏洞利用:由于 SIGALRM 处理程序中调用了不安全的异步信号函数,导致可以远程执行代码并获取 root 权限。
SSH 远程登录是明月平时给客户代维的时候必须使用的方式,就算有宝塔的我都不用(实在是受不了图形界面那卡顿、缓慢、繁琐的操作体验),所以这个 OpenSSH 漏洞还是要重视起来的,否则带来的都是灾难性的后果。
因为明月的大部分代维客户的服务器系统已经被明月更换为Debian Linux了都,所以修复这个 OpenSSH 漏洞 CVE-2024-6387 相对来说很简单,基本也就是从官方安全源里跟新一下 openssh-server 应用即可,目前大部分服务器系统镜像里的 Debian Linux 发行版 openssh-server 版本都是:
如上图所示的9.2p1 Debian-2+deb12u2版,而根据 Debian 官方显示(见相关文章 1),9.2p1 Debian-2+deb12u3 才是安全的版本。所以,果断参照下面的方法更新就是了。
首先添加 Security 安全源,编辑 Debian Linu 安装源文件:
vim /etc/apt/sources.list在结尾处复制粘贴如下的 Debian Linux 官方安全源:
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware然后更新源:
apt update再然后安装 openssh-server 应用包:
apt upgrade openssh-server重启 SSH 服务进程:
systemctl restart ssh最后输入ssh -V查看 OpenSSH 版本:
可以看到,已经升级到了官方的 OpenSSH 安全版本:9.2p1 Debian-2+deb12u3。
最后删除/etc/apt/sources.list里添加的安全源。
至此就修复了 OpenSSH 漏洞 CVE-2024-6387 带来的安全隐患,要注意的是还在使用CentOS系统的明月实测默认的 OpenSSH 版本都是OpenSSH_8.0p1,不受 CVE-2024-6387 漏洞的影响,不建议大家去刻意升级,因为目前 CentOS 已经停止维护了,所以只能采用编译安装的方式来更新 OpenSSH,新版的 OpenSSH 因为引入了更高的安全机制,会造成 SSH 服务进程无法重启的严重错误,这会造成远程 SSH 登录失败的,慎重哦!最后建议还在使用 CentOS 的尽快变更为 Debian Linux 了,没有维护的 Linux 是严重不安全的,存在很大的安全风险。
