open-ssh漏洞修复

最新推荐文章于 2026-04-27 09:42:07 发布
原创 最新推荐文章于 2026-04-27 09:42:07 发布 · 791 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#ssh #linux #运维

2025年12月,OpenSSH现CVE-2024-6387漏洞,这个漏洞的危害是:未经认证的远程攻击者可在 8.5p1 ≤ OpenSSH < 9.8p1 的服务器上触发竞态条件,以 root 身份直接执行任意代码,整个系统瞬间失陷。漏洞自发布以来,已经有网友复现了这一漏洞的攻击。

建议:把 OpenSSH 升级到 >9.8p1(推荐 9.9p1)。

1.登录系统检查OpenSSH版本

使用下面的命令检查你当前系统的OpenSSH版本,只要在8.5p1 ≤ OpenSSH < 9.8p1 之间都需要升级。

sshd -V

不幸的是大多数系统源中安装的openssh都是这在个区间的。

2.准备升级

目前各大发行版本的官方源是还没有最新的openssh补丁,所以只能手动升级了。

2.1 登录系统

首先保证你的系统还能远程登录,使用你顺手的终端在本地登录两次,这么做的目的是保证升级过程中如果有什么错误,在另一个未操作的登录终端中还能回滚。

2.2 准备升级脚本

使用下面的脚本进行升级适用系统:

  • ubuntu 20.04/22.04/24.04
  • Debian 11/12

fix-openssh.sh

#!/usr/bin/env bash
set -euo pipefail
TARGET_VER="9.9p1"
WORKDIR="/usr/local/src/openssh-build"
BACKUP_DIR="/root/openssh_backup_$(date +%F_%H-%M-%S)"

echo "=============================="
echo " OpenSSH regreSSHion 修复工具"
echo "=============================="

# Root check
if [[ $EUID -ne 0 ]]; then
  echo "❌ 请使用 root 执行"
  exit 1
fi

# 修复:添加超时保护,并使用更可靠的版本获取方式
echo "🔍 检测当前 OpenSSH 版本..."

# 方法1: 尝试从 dpkg (Debian/Ubuntu)
if command -v dpkg &>/dev/null; then
  CUR_VER=$(dpkg -l | grep openssh-server | awk '{print $3}' | sed -n 's/.*:\([0-9.]*p[0-9]*\).*/\1/p' | head -n1)
fi

# 方法2: 如果方法1失败,使用 timeout 保护的 sshd -V
if [[ -z "${CUR_VER:-}" ]]; then
  CUR_VER=$(timeout 3 sshd -V 2>&1 | head -n1 | sed -n 's/^OpenSSH_\([0-9.]*p[0-9]*\).*/\1/p' || true)
fi

# 方法3: 尝试 ssh -V
if [[ -z "${CUR_VER:-}" ]]; then
  CUR_VER=$(ssh -V 2>&1 | sed -n 's/^OpenSSH_\([0-9.]*p[0-9]*\).*/\1/p')
fi

if [[ -z "$CUR_VER" ]]; then
  echo "❌ 无法解析 OpenSSH 版本"
  echo "尝试手动检查:"
  timeout 3 sshd -V 2>&1 | head -n5 || ssh -V 2>&1
  exit 1
fi

echo "✔ 当前 OpenSSH 版本: $CUR_VER"

# 版本比较(安全)
verlt() {
  [[ "$(printf '%s\n%s\n' "$1" "$2" | sort -V | head -n1)" == "$1" ]] \
  && [[ "$1" != "$2" ]]
}

if ! verlt "$CUR_VER" "9.8p1"; then
  echo "✔ 当前版本 ≥ 9.8p1,未受 CVE-2024-6387 影响"
  exit 0
fi

echo "⚠ 当前版本处于 regreSSHion 风险区间,开始升级"

# 备份
mkdir -p "$BACKUP_DIR"
cp -a /etc/ssh "$BACKUP_DIR/"
echo "✔ SSH 配置已备份到 $BACKUP_DIR"

# 依赖
echo "🔧 安装编译依赖"
apt update
apt install -y \
  build-essential \
  libssl-dev \
  zlib1g-dev \
  libpam0g-dev \
  libselinux1-dev \
  libsystemd-dev \
  pkg-config \
  wget

# 下载
mkdir -p "$WORKDIR"
cd "$WORKDIR"
wget -nc https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-${TARGET_VER}.tar.gz
tar -xzf openssh-${TARGET_VER}.tar.gz
cd openssh-${TARGET_VER}

# 编译(Ubuntu 对齐)
./configure \
  --prefix=/usr \
  --sysconfdir=/etc/ssh \
  --with-pam \
  --with-systemd \
  --with-privsep-path=/var/lib/sshd

make -j"$(nproc)"
make install

# 校验
sshd -t

# 重启
systemctl daemon-reexec
systemctl restart ssh

echo "=============================="
echo "✅ OpenSSH 已升级完成"
ssh -V
echo "=============================="

3.升级openssh

将以上脚本fix-openssh.sh上传到你的服务器,并为脚本赋可执行权限。

# 在脚本所在目录下执行
chmod +x fix-openssh.sh

# 切换成root用户
su
# 在root用户下执行脚本
./fix-openssh.sh

查看升级后的OpenSSH版本:

sshd -V

只要不在8.5p1 ≤ OpenSSH < 9.8p1区间就可以了。

以下是我升级后的截图

在这里插入图片描述

alfiy
关注
如何修复ssh漏洞进行版本升级
Liu_Fang_Hong的博客
07-09 6801
详细描述 在通过启用了X11转发的SSH登录时,sshd(8)没有正确地处理无法绑定到IPv4端口但成功绑定到IPv6端 口的情况。在这种情况下,使用X11的设备即使没有被sshd(8)绑定也会连接到IPv4端口,因此无法安全的进行转 发。 恶意用户可以在未使用的IPv4端口(如tcp 6010端口)上监听X11连接。当不知情的用户登录并创建X11转 发时,恶意用户可以捕获所有通过端口发送的X11数据,这可能泄露敏感信息或允许以使用X11转发用户的权限执
openssh漏洞修复方案
qq_37867279的博客
03-05 2612
镜像下载:https://mirrors.aliyun.com/centos-vault/7.6.1810/isos/x86_64/?**注意:**执行的所有操作必须为root用户。升级前请打开多个窗口,避免升级失败无法连接。**注意:**执行的所有操作必须为root用户。升级前请打开多个窗口,避免升级失败无法连接。重新打开一个升级的终端,输入密码后可以登录则说明升级成功。将下载好的镜像与openssh包进行上传。
OpenSSH 高危漏洞 CVE-2024-6387|原理分析、风险研判与完整修复手册
最新发布
Button12138的博客
04-27 445
聚焦 OpenSSH Server 核心安全隐患,详解 CVE-2024-6387 远程代码执行漏洞的技术原理与绕过思路,解析 ASLR 等防护机制的突破方式。结合企业等保需求,给出长效安全配置、版本迭代规范、日常风险巡检方案,构建 SSH 服务常态化安全防护体系。
openssh漏洞问题
qq_53862185的博客
02-21 2919
修复openssh漏洞问题
OpenSSH漏洞修复方案
weixin_56860640的博客
12-23 3052
​。
关于OpenSSH安全漏洞修复
weixin_45489911的博客
01-29 1601
每个Unix系统都有自己的一组共享库的默认位置,例如`/lib`、`/usr/lib`或可能的`/usr/local/lib`。因此,建议在配置时明确设置它,除非你知道库安装在默认列表中的目录中。这将把OpenSSH二进制文件安装在/usr/local/bin中,配置文件安装在/usr/local/etc中,服务器安装在/usr/local/sbin中,等等。./Configure --prefix=/usr/local/ssl --openssldir=/usr/local/ssl 报错。
转一篇关于open ssh漏洞修复的文章
我只会装360的博客
12-31 1225
客户及上级主部门经常会使用到某绿的扫描器对服务器进行扫描,经常出现open ssl版本漏洞,解决方案接只能升级,今天参照csdn博客上的某位大佬文章对客户服务器进行了加固,升级完成之后扫描漏洞消失。 重装openSSH更高级的版本解决安全漏洞问题,会导致我们常用的链接会断掉,有两种解决方案,一种是多开几个ssh的链接,因为openSSH断开后就不会新建链接[没测试过];另一个方案就是安装telne...
lede 命令 启用 ssh_PHP imap_open函数任意命令执行漏洞
weixin_39926639的博客
11-23 121
1漏洞描述PHP 的imap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。该漏洞的存在是因为受影响的软件的imap_open函数在将邮箱名称传递给rsh或ssh命令之前不正确地过滤邮箱名称。如果启用了rsh和ssh功能并且rsh命令是ssh命令的符号链接,则攻击者可以通过向目标系统发送包含-oProxyCommand参数的恶意IMAP服务器名称来利用此漏洞。02漏...
Open-AutoGLM默认账号密码曝光:如何在5分钟内完成安全替换并防止横向渗透
ProcePerch的博客
12-26 1169
快速掌握Open-AutoGLM虚拟机账户密码安全替换方法,5分钟完成配置加固。适用于企业自动化部署与AI模型开发环境,通过最小权限原则和密钥轮换机制,有效防止横向渗透风险。操作简单高效,值得收藏。
关于 openssh 漏洞版本修复以及 SSH 密钥交换漏洞修复的参考步骤(这里以升级到 openssh-9.8p1 为例)
Destiny nefertari的博客
06-12 573
本文介绍了在Debian10系统上升级OpenSSH到9.8p1版本的完整流程。首先通过apt获取编译依赖包,区分服务器能否联网的情况分别处理依赖安装。然后解压OpenSSH源码包,执行configure配置和make编译安装。接着修改系统服务文件中的Type参数,最后重启服务并验证版本。整个过程涵盖了从环境准备到最终验证的完整步骤,适用于OpenSSH的安全升级需求。
Linux(Centos7)OpenSSH漏洞修复,升级最新openssh-9.7p1
dontYouWorry的博客
06-17 4430
Linux(Centos7)OpenSSH漏洞修复,升级最新openssh-9.7p1
OpenssH 漏洞修复
阿干tkl的博客
01-12 3318
OpenssH 安全漏洞扫描版本过低,需更新到最新版本
linuxOpenSSH漏洞修复
qq_35365160的博客
05-13 1411
CentOS 作为一款流行的 Linux 发行版,由于其稳定性和企业级支持,被广泛用于服务器环境中。OpenSSHLinux 系统上用于远程登录的标准工具,它也经常成为安全漏洞的目标。为了确保你的 CentOS 系统安全,你需要定期更新和修补 OpenSSH 以及整个系统。OpenSSH 命令注入漏洞(CVE-2020-15778)OpenSSH 安全漏洞(CVE-2021-41617)定期检查 CentOS 的更新通知,并应用所有重要的安全补丁。
记一次修复漏洞OpenSSH 安全漏洞(CVE-2023-28531))CentOS升级openssh
DDDM456的博客
04-07 1万+
添加`--without-openssl-header-check`参数继续编译。#--permanent 为永久开启,不加此参数重启防火墙后规则不保存。#不一定就是这个,有可能是pts/0或者pts/1,其他可查log。#停止当前ssh服务,停止前确保telnet可连接。1.查看当前openssl和openssh版本。#关闭telnet服务,先测试ssh是否可连接。9.编译安装openssh---(报错集合)#查看openssh版本,验证是否升级成功。#软连接刚编译好的新版本openssl。
OPENSSH漏洞离线修复实施步骤
oracletainanle的博客
08-21 1546
修复方案适用于以下漏洞OpenSSH 安全漏洞(CVE-2023-38408)OpenSSH 命令注入漏洞(CVE-2020-15778)OpenSSH 输入验证错误漏洞(CVE-2020-12062)OpenSSH 安全漏洞(CVE-2021-28041)OpenSSH 安全漏洞(CVE-2021-41617)OpenSSH 安全漏洞(CVE-2023-51767)OpenSSH 安全漏洞(CVE-2023-51385)
OpenSSH漏洞修复步骤
qq_41906909的博客
09-11 1102
OpenSSH漏洞近日,国家信息安全漏洞库()收到关于OpenSSH安全漏洞(CNNVD-202407-017、)情况的报送。攻击者可以利用该漏洞在无需认证的情况下,通过竞争条件远程执行任意代码并获得系统控制权。OpenSSH多个版本受该漏洞影响。目前,OpenSSH官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。危害影响:OpenSSH 8.5p1版本至9.8p1之前版本均受该漏洞影响。
OpenSSHOpenBSD Secure Shell)(CVE-2025-32728)修复
liweiweili126的博客
09-01 1770
在CentOS 7系统中,由于官方默认源的OpenSSH版本通常更新较慢,查看和升级到最新安全版本(修复CVE-2025-32728的10.0及以上)需要特殊处理。
Openssh漏洞升级修复
weixin_54626591的博客
08-17 1741
Openssh漏洞升级修复
OpenSSH算法协议漏洞修复
热门推荐
zhongxj183的博客
05-23 3万+
OpenSSH算法协议漏洞修复 由于低版本的OpenSSH使用了过时不安全的加密算法协议,通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。 如果我们仍要继续使用旧版本的OpenSSH,可以根据实际情况,考虑屏蔽掉不安全的加密算法,以降低安全风险。 SSH Weak Key Exchange Algorithms Enabled(启用SSH弱密钥交换算法) 查看kexalgorithms 查看客户端支持的kexalgorithms ssh -Q kex 查看服务端支持的kexalgorit
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

alfiy

请博主喝瓶矿泉水吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值