| 一:漏洞分析 最近進(jìn)行l(wèi)inux系統(tǒng)安全加固分析,進(jìn)行漏洞掃描掃描分析,不掃不知道,一掃嚇一跳,linux系統(tǒng)服務(wù)器的 OPENSSH存在3大安全漏洞,祥如下: 1:OpenSSH GSSAPI 處理遠(yuǎn)端代碼執(zhí)行漏洞 漏洞分類 守護(hù)進(jìn)程類 危險(xiǎn)級別 高 影響平臺OpenSSH OpenSSH < 4.4 詳細(xì)描述OpenSSH 4.3 之前的portable 版本存在遠(yuǎn)端代碼執(zhí)行漏洞. 攻擊者可以利用race 無法處理特別制作 的signal handler 而導(dǎo)致阻斷服務(wù). 如果通過GSSAPI 認(rèn)證,攻擊者可以在系統(tǒng)上執(zhí)行任意代碼. 修補(bǔ)建議 以下措施進(jìn)行修補(bǔ)以降低威脅: 升級至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4 released ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/ 參考網(wǎng)址# MLIST:[openssh-unix-dev] 20060927 Announce: OpenSSH 4.4 released # URL:http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=115939141729160&w=2 2:OpenSSH GSSAPI認(rèn)證終止信息泄露漏洞 漏洞編號000a03fa 漏洞分類 守護(hù)進(jìn)程類 危險(xiǎn)級別 中 詳細(xì)描述OpenSSH portable 版本GSSAPI 認(rèn)證存在信息泄露漏洞. 遠(yuǎn)端攻擊者可以利用GSSAPI 認(rèn)證終止回傳 不同的錯(cuò)誤訊息和確認(rèn)usernames 非特定的平臺進(jìn)而攻擊,攻擊者可以獲得usernames 的信息. 修補(bǔ)建議 升級至OpenSSH 4.4 或最新版本的OpenSSH. OpenSSH 4.4 released http://www.openssh.com/txt/release-4.4 參考網(wǎng)址* BUGTRAQ:20061005 rPSA-2006-0185-1 gnome-ssh-askpass openssh openssh-client openssh- server * URL:http://www.securityfocus.com/archive/1/archive/1/447861/100/200/threaded 3:OpenSSH X連接會話劫持漏洞 漏洞分類 守護(hù)進(jìn)程類 危險(xiǎn)級別 中 影響平臺OpenSSH < 4.3p2 詳細(xì)描述 在通過啟用了X11轉(zhuǎn)發(fā)的SSH登錄時(shí),sshd(8)沒有正確地處理無法綁定到IPv4端口但成功綁定到IPv6端 口的情況。在這種情況下,使用X11的設(shè)備即使沒有被sshd(8)綁定也會連接到IPv4端口,因此無法安全的進(jìn)行轉(zhuǎn) 發(fā)。 惡意用戶可以在未使用的IPv4端口(如tcp 6010端口)上監(jiān)聽X11連接。當(dāng)不知情的用戶登錄并創(chuàng)建X11轉(zhuǎn) 發(fā)時(shí),惡意用戶可以捕獲所有通過端口發(fā)送的X11數(shù)據(jù),這可能泄露敏感信息或允許以使用X11轉(zhuǎn)發(fā)用戶的權(quán)限執(zhí) 行命令。 修補(bǔ)建議 建議您采取以下措施進(jìn)行修補(bǔ)以降低威脅:OpenSSH已經(jīng)提供更新的下載地址:# OpenSSH openssh-3.9p1-skip-used.patch http://cvs.fedora.redhat.com/viewcvs/rpms/openssh/devel/openssh- 3.9p1- skip-used.patch?rev=1.1&view=markup 參考網(wǎng)址* BUGTRAQ:20080325 rPSA-2008-0120-1 gnome-ssh-askpass openssh openssh-client openssh- server * URL:http://www.securityfocus.com/archive/1/archive/1/490054/100/0/threaded ################################################################################# 二:漏洞修復(fù) 我的修復(fù)步驟! 通過以上的統(tǒng)計(jì)分析,我的第一想法就是升級OPENSSH 堵住安全漏洞,下面是我的升級方法步驟: 1 wget http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-5.8p2.tar.gz 現(xiàn)在高版本OPENSSH安裝程序,現(xiàn)在最高版本是6.0,還是安全起見,不使用最新版本,我選擇5.8P2下載安裝。 2 tar xvf openssh-5.8p2.tar.gz #不解釋 3 cd openssh-5.8p2 # www.jb51.net 不解釋 4 ./configure --prefix=/usr --sysconfdir=/etc/ssh 下載的是源碼包要編譯一下,注意我的編譯路徑,我是講OPENSSH安裝在,原來的路徑下,這樣后面安裝完成后 就不用在從新copy SSHD服務(wù)到/etc/init.d/下了!,可以根據(jù)實(shí)際情況定制安裝路徑。 5 make #不解釋 6 mv /etc/ssh/* /etc/sshbak/ 由于我使安裝在原路徑下,所以我將就的配置文件挪了一下位置,不然make install 會報(bào)錯(cuò)! 7 make install #不解釋 8 /etc/init.d/sshd restart 這里注意安全,如果你前面編譯報(bào)錯(cuò)了,還強(qiáng)制安裝,SSHD服務(wù)可能就起不來了,后果你懂得! 9 chkconfig --add sshd #不解釋 10 chkconfig sshd on #不解釋 如果你的sshd服務(wù)正常啟動,那么恭喜你! 使用ssh -V 命令查看一下 [health@jumpserver-12 ~]$ ssh -V OpenSSH_5.8p2, OpenSSL 1.0.0-fips 29 Mar 2010 已經(jīng)成功升級至5.8版本! 三:故障排查 故障排查: ./configure 之后報(bào)錯(cuò)報(bào)錯(cuò)排查, 安裝gcc-4.5.1.tar.bz2 和openssl-devel 摘自 kjh2007abc 的BLOG |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
