一、漏洞描述

OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH 6.x版本和7.x至7.3版本中的kex.c文件的kex_input_kexinit()函数存在内存耗尽问题，造成拒绝服务漏洞。远程攻击者/未经认证的客户端可通过发送许多重复的KEXINIT请求利用该漏洞，使服务器上每个连接的内存分配增加至384MB，使服务器的内存耗尽,造成拒绝服务攻击。注意：第三方报告称不将OpenSSH upstream视为安全漏洞。

影响产品：OpenSSH 6.8-7.3

危险级别：高危险

CVE编号：CVE-2016-8858
CNCVE编号：CNCVE-20168858
国家漏洞库编号：CNNVD-201610-679
CNVD编号：CNVD-2016-09674

更多参看：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8858

二、修复处理

官方建议用户对源代码进行升级和编译。代码修复链接如下：http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c#rev1.127

补丁下载：http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c

本案例处理措施：替换后openssh 7.9p1后重新编译，如下所示：

yum -y install wget make automake gcc* perl pam pam-devel zlib zlib-devel tcp_wrappers-devel     #基础环境
mkdir -p /home/software && cd /home/software      #创建下载目录
rpm -qa | grep openssh*         #卸载

openssl-1.0.1e-57.el6.x86_64
openssl-devel-1.0.1e-57.el6.x86_64
#执行卸载
rpm -e openssl-1.0.1e-57.el6.x86_64
rpm -e openssl-devel-1.0.1e-57.el6.x86_64
------------------

下载
wget http://www.openssl.org/source/openssl-fips-2.0.5.tar.gz
tar -zxvf openssl-fips-2.0.5
cd openssl-fips-2.0.5
./config
make && make install


#wget https://github.com/openssl/openssl/archive/OpenSSL_1_1_1d.tar.gz
tar -zvxf OpenSSL_1_1_1d.tar.gz
cd openssl-OpenSSL_1_1_1d
./config shared zlib --prefix=/usr/local/openssl-1.1.1-pre8 --openssldir=/usr/local/openssl-1.1.1-pre8/ssl
make 
make install
mv /usr/bin/openssl /usr/bin/openssl.bak
find / -name openssl
ln -s /usr/local/openssl-1.1.1-pre8/bin/openssl /usr/bin/openssl
ln -s /usr/local/lib64 /usr/local/ssl/lib
vi /etc/ld.so.conf
---------
/usr/local/lib64
/usr/local/ssl/lib
---------  :wq  #保存
ldconfig
openssl version -a


#ssh重新编译
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz #下载7.9版本
wget http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c
mv /etc/ssh/ /etc/ssh.bak   #备份
tar zxf openssh-7.9p1.tar.gz && cd openssh-8.0p1  #解压
#./configure \
  --prefix=/usr \
  --sysconfdir=/etc/ssh \
  --with-md5-passwords \
  --with-pam \
  --with-tcp-wrappers \
  --with-ssl-dir=/usr/local/ssl \
  --without-hardening  \
  --without-openssl-header-check

#编译
make && make install
cp contrib/redhat/sshd.init /etc/init.d/sshd
chkconfig --add sshd
vi /etc/ssh/sshd_config
--
PermitRootLogin yes
---
:wq
service sshd start