openssh漏洞升级方案

文档编号：项目代号：openssh漏洞升级方案CIMER江苏君立华域信息安全技术有限公司2014年6月10日文档信息表1概述为解决openssh版本漏洞。2评估范围及漏洞2评估范围及漏洞■EJ此次信息安全评估针对全网IP,检查手段为漏洞扫描。本次漏洞扫描采用绿盟极光漏洞扫描器对各域生产资产进行细致深入的漏洞检测、分析。此文档针对openssh漏洞升级进行说明。3漏洞信息评估时间：2014年6月7日-6月8日openssh具体漏洞信息如下：TOC\o"1-5"\h\z漏洞名M出现次二［高］ 口口皿SSH缓冲区管理操作远程溢出漏洞 1［高］ 口口巳展成存在多个缓冲区管理错误漏洞 1更］ 口好展即复制块远程拒绝服务漏洞 露匝］ 0口已nSSHJ-FAKE授权问题漏洞(CVE-2Q104478) 79匝］ Fort&bm0口巳nSSHGS弘FI远程代码执行漏洞(。迎-2。。6-洸51： 39［高］ 0口已nSSH'schnorr./远程内存破坏漏洞(CVE-2014T692) 1Q3［中］ 口好展SHX连接会话劫持漏洞 源［中］ 。口皿SSH陈旧证书签名信息泄露漏洞(C迎-实11-QS费) 4［中］ 口口巳nSSH默认服务器配置拒绝服务漏洞(CVE-WW-SIQF) 11S［中］ 0口已nSSHgMB表达式拒绝服务漏洞(C迎-2QW-47SS) 81［中］ 可移植。口m匪HG%虹1认证终止信息泄露漏洞 23［中］ 。口已nSSH绕过Fore已*mmand指令漏洞 3［中］ 0口巳nSSHS您令远程信息泄露漏洞(CVE-2QQ7-矣43) 47541图一：openssh漏洞列表经测试，linux系统上，将openssh升级到6.6版本可解决以上所有漏洞(不包括新出现的漏洞）。4升级步骤说明：在升级安装过程中不要复制、黏贴文中的内容，不同版本会有些小差别，会给您带来不便，请根据提示手动操作。软件下载：升级openssh前需先升级安装openssl下载地址如下：/source/选择下载openssl-1.0.1h.tar.gz（最新版）/pub/OpenBSD/OpenSSH/portable/下载openssh-6.6p1.tar.gz升级操作前，请先开启telnet服务，并以telnet的方式登录到服务器查看原openssl相关文件，把相关信息记录下来，由于是采用源码方式安装，后续需要手动更新部分库文件#rpm-qlopenssl查找原openssl的库文件路径，注意系统版本是32位还是64位#ll/lib64/libcrypto.so.*ll/lib64/libssl.so.*#ll/usr/lib64/libcrypto.so查找原openssl相关文件，包括动态连接库文件，可执行文件#find/-nameopenssl移动备份原头文件#mv/usr/include/openssl/usr/include/oldssl用于备份原库文件mkdir/lib/oldssl删除原库文件，准备升级，这里只是移动了做备份并没有直接删除mv/lib/libssl.so.0.9.8b/lib/oldssl/ 〃注意标红字体文件位置确定openssl软件包中包含的库文件

#rpm-qlopenssl 〃第四步已经找到的10.移动库文件，连接文件可以直接删除，注意标红字体文件，不同系统可10.能文件名有差别#mv/lib/libcrypto.so.1/lib/oldssl/#mv/lib/ibssl.so.0.9.8b/lib/oldssl/#mv/lib/libssl.so.1/lib/oldssl/11.删除源文件11.删除源文件#ll/usr/bin/openssl#mv/usr/bin/openssl/usr/bin/BAKopenssl#rm-rf/usr/lib/libcrypto.so#ll/usr/bin/openssl#mv/usr/bin/openssl/usr/bin/BAKopenssl#rm-rf/usr/lib/libcrypto.so12.解压新文件12.解压新文件#tarxzfopenssl-1.0.1g.tar.gz#cdpenssl-1.0.1g#tarxzfopenssl-1.0.1g.tar.gz#cdpenssl-1.0.1g13.编译安装13.编译安装#./config#make#makeinstall这样默认安装在/usr/local/ssl/目录#/usr/local/ssl/bin/opensslversion#cp/usr/local/ssl/bin/openssl/usr/bin#opensslversion〃回到根目录下再执行一次#ldd/usr/bin/openssl14.恢复原连接文件到新的库，注意此处文件名不同，自己更正14.ln-s/usr/local/ssl/lib/libcrypto.so.0.9.8/lib/libcrypto.so.4ln-s/usr/local/ssl/lib/libssl.so.0.9.8/lib/libssl.so.4ln-s/usr/local/ssl/lib/libcrypto.so.0.9.8/usr/lib/libcrypto.soln-s/usr/local/ssl/lib/libssl.so.0.9.8/usr/lib/libssl.soln-s/usr/local/ssl/include/openssl/usr/include/openssl现在用新的来替代它了。15.最后要刷新系统的动态连接库配置#echo/usr/local/ssl/lib>>/etc/ld.so.confldconfig-v升级openssh，同样查看相关文件，以便后续更新rpm-qlopenssh解压、编译、安装tarxzfopenssh-4.7p1.tar.gzcdopenssh-4.7p1./configuremakemakeinstall记住完成后提示信息：完成安装，生成了密钥对以及安装路径等信息查看版本信息等/usr/local/bin/ssh-Vmv/usr/bin/ssh/usr/bin/oldsshcp/usr/local/bin/ssh/usr/bin/ssh-V版本号看到都已经更新了，在 makeinstall最后可以看到提示信息OpenSSH就被安装在/etc/local里面了，所有有关OpenSSH的配置文件都放在/usr/local/etc目录下，修改配置文件/usr/local/etc/sshd_config#vi/usr/local/etc/sshd_config把以下参数前面的注释#去掉Port22Protocol2,1RhostsRSAAuthenticationno最后修改一下/etc/init.d/sshd不然不能启动以下参数是和原来不一样的，主要是路径改变了，注意安装文件路径#[-f/etc/sysconfig/sshd]&&./etc/sysconfig/sshdKEYGEN=/usr/local/bin/ssh-keygenSSHD=/usr/local/sbin/sshdRSA1_KEY=/usr/local/etc/ssh_host_keyRSA_KEY=/usr/local/etc/ssh_host_rsa_keyDSA_KEY=/usr/local/etc/ssh_host_dsa_keyPID_F