这是一个创建于 376 天前的主题,其中的信息可能已经有所发展或是发生改变。
131 条回复 • 2024-07-06 08:21:44 +08:00
 |
1
cnt2ex 2024-07-01 23:41:10 +08:00  1
自从 xz 事件之后,我已经把监听地址限制在一个 VPN 的地址上了
|
 |
2
darksheen 2024-07-01 23:42:03 +08:00
看了下我的 almalinux 8 ,用的还是 8.0p1 呢
|
 |
3
LingXingYue 2024-07-01 23:45:34 +08:00 2
ubuntu 的软件源好像还没更新,可以自己手动编译安装,也很快
# 安装编译依赖 sudo apt-get update sudo apt-get install -y build-essential zlib1g-dev libssl-dev # 下载指定版本源码 wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz # 解压并进入目录 tar -xzf openssh-9.8p1.tar.gz cd openssh-9.8p1 # 编译和安装 ./configure make sudo make install # 启动并检查安装 sudo systemctl restart ssh ssh -V |
 |
4
cat 2024-07-01 23:48:53 +08:00
@LingXingYue 不自己编译的话 是不是只能等 apt 更新啊
|
 |
5
chenluo0429 2024-07-01 23:57:06 +08:00 via Android
睡前看到,顺手更新了
|
 |
6
AstroProfundis 2024-07-02 00:05:13 +08:00
别瞎搞,sudo make install 完就再也不用包管理更新了呗?
|
 |
7
LeviMarvin 2024-07-02 00:06:06 +08:00 1
ArchLinux 躺赢。OpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024
|
 |
8
huagequan 2024-07-02 00:11:06 +08:00 via Android 1
https://ubuntu.com/security/notices/USN-6859-1
Ubuntu 的软件源好像更新了 |
 |
9
yukino 2024-07-02 00:12:23 +08:00
@LeviMarvin openssh 最新版 9.8p1-1 ,该 `pacman -Syu` 了
|
 |
10
FanChou 2024-07-02 00:13:24 +08:00
Debian 11 12 已经修复了 https://security-tracker.debian.org/tracker/CVE-2024-6387
|
 |
13
yyzh 2024-07-02 00:30:40 +08:00 via Android
|
 |
14
cJ8SxGOWRH0LSelC 2024-07-02 00:32:13 +08:00
我擦,赶紧升级呀
|
 |
15
choury 2024-07-02 00:34:30 +08:00
@cat 源里已经修了,要么你没加 security 仓库,要么你用的 mirror 同步有延迟
``` sudo apt upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done The following packages will be upgraded: openssh-client openssh-server openssh-sftp-server ssh 4 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 1,687 kB of archives. After this operation, 0 B of additional disk space will be used. Do you want to continue? [Y/n] y Get:1 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-sftp-server amd64 1:9.2p1-2+deb12u3 [65.8 kB] Get:2 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-server amd64 1:9.2p1-2+deb12u3 [456 kB] Get:3 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-client amd64 1:9.2p1-2+deb12u3 [991 kB] Get:4 http://deb.debian.org/debian-security bookworm-security/main amd64 ssh all 1:9.2p1-2+deb12u3 [174 kB] Fetched 1,687 kB in 2min 20s (12.0 kB/s) Reading changelogs... Done Preconfiguring packages ... (Reading database ... 94393 files and directories currently installed.) Preparing to unpack .../openssh-sftp-server_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-sftp-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../openssh-server_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../openssh-client_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-client (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../ssh_1%3a9.2p1-2+deb12u3_all.deb ... Unpacking ssh (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Setting up openssh-client (1:9.2p1-2+deb12u3) ... Setting up openssh-sftp-server (1:9.2p1-2+deb12u3) ... Setting up openssh-server (1:9.2p1-2+deb12u3) ... ``` |
|
16
cJ8SxGOWRH0LSelC 2024-07-02 00:37:26 +08:00 3
Centos7.9 目前还是 OpenSSH_7.4p1 版本, 是不是无敌了。不用升级了?
|
|
17
cat 2024-07-02 00:41:48 +08:00
@choury @huagequan Ubuntu 22.04 的,已经把 source.list 切换成官方的了,依然没有……
sudo apt upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done Get more security updates through Ubuntu Pro with 'esm-apps' enabled: gsasl-common libgsasl7 Learn more about Ubuntu Pro at https://ubuntu.com/pro The following packages have been kept back: cloud-init python3-update-manager ubuntu-advantage-tools ubuntu-pro-client ubuntu-pro-client-l10n update-manager-core 0 upgraded, 0 newly installed, 0 to remove and 6 not upgraded. |
|
19
cat 2024-07-02 01:24:42 +08:00
@huagequan $ sudo apt policy openssh-server
openssh-server: Installed: 1:8.9p1-3ubuntu0.10 Candidate: 1:8.9p1-3ubuntu0.10 Version table: *** 1:8.9p1-3ubuntu0.10 500 500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages 500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages 100 /var/lib/dpkg/status 1:8.9p1-3 500 500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages |
 |
20
Love4Taylor PRO |
 |
21
james122333 2024-07-02 01:42:57 +08:00 via Android
我好像又没事 哈
|
 |
23
Yadomin 2024-07-02 01:53:01 +08:00 via Android
年度安全🥇:CentOS 7
|
 |
24
cnbatch 2024-07-02 02:01:13 +08:00
看了下 OpenSSH 的公告,发现这个 Bug 几乎就是 Linux-Only ,更进一步地说,是仅限于 glibc 的 Linux 系统受影响
而 OpenSSH 的发源地——OpenBSD ,完全不受影响 这有没有可能是 glibc 的的间接 bug 呢 |
|
25
cat 2024-07-02 02:22:03 +08:00
@huagequan 噢!我悟了! 8.9p1-3ubuntu0.10 重点是在最后的 0.10 ,我以为要最前面的 8.9 更新到 9.x 才行,谢谢大佬!
|
 |
26
dzdh 2024-07-02 02:34:43 +08:00
RHEl 8.7p1 暂未收到安全更新
|
 |
27
msg7086 2024-07-02 03:06:49 +08:00
@cnbatch 不算是 bug 吧,只能说是行为不太一样。
比如说头孢和阿莫西林都是抗生素,但吃头孢不能喝酒,那你不能说这是头孢的 bug 吧。 |
 |
28
Ja5onV 2024-07-02 03:11:36 +08:00 1
年度安全🥇:CentOS 7 哈哈哈哈 CentOS7.9 不受影响
sshd -v OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 |
 |
29
billgong 2024-07-02 05:56:27 +08:00 4
非滚动发行版都是 patch 支持的版本而不是直接升级到最新,比如 Debian (1:9.2p1-2+deb12**u2** -> 1:9.2p1-2+deb12**u3**) 和 Ubuntu (1:8.9p1-3 -> 1:8.9p1-3**ubuntu0.10**) 所以看版本号要看后缀,不是非得升级到 9.8p1
|
 |
30
elboble 2024-07-02 07:09:44 +08:00
@cat 确定这个版本 8.9p1-3ubuntu0.10 打了补丁?
我这查的这个版本是 6 月 26 号出的,难道这个 0Day 早就知道了? :~$ dpkg -l | grep openssh ii openssh-client 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) client, for secure access to remote machines ii openssh-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) server, for secure access from remote machines ii openssh-sftp-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) sftp server module, for SFTP access from remote machines :~$ ls /sbin/sshd -l -rwxr-xr-x 1 root root 917192 Jun 26 21:11 /sbin/sshd :~$ ls /bin/ssh -al -rwxr-xr-x 1 root root 846888 Jun 26 21:11 /bin/ssh |
 |
31
yingji0830 2024-07-02 07:37:15 +08:00 2
@elboble 按 https://ubuntu.com/security/notices/USN-6859-1 的说法,更新到这个版本应该是安全的
|
 |
32
uSy62nMkdH 2024-07-02 08:17:26 +08:00 1
@StinkyTofus CVE-2023-51385 CVE-2023-38408
|
 |
34
vein0 2024-07-02 08:40:03 +08:00
@LingXingYue 有可能不显示新版本
如果新版本没显示,就是需要添加环境变量: echo 'export PATH=/usr/local/bin:/usr/local/sbin:$PATH' >> ~/.bashrc 验证生效 source ~/.bashrc |
 |
35
Jack927 2024-07-02 08:44:00 +08:00
这个算是修了吗?
``` sudo apt policy openssh-server openssh-server: Installed: 1:8.2p1-4ubuntu0.11 Candidate: 1:8.2p1-4ubuntu0.11 Version table: *** 1:8.2p1-4ubuntu0.11 500 500 http://mirrors.aliyun.com/ubuntu focal-updates/main amd64 Packages 500 http://mirrors.aliyun.com/ubuntu focal-security/main amd64 Packages 100 /var/lib/dpkg/status 1:8.2p1-4 500 500 http://mirrors.aliyun.com/ubuntu focal/main amd64 Packages ``` |
 |
36
shenjinpeng 2024-07-02 08:47:58 +08:00
OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3
|
 |
37
xiri 2024-07-02 08:53:07 +08:00
@elboble
问题发现团队的公告最后有时间线: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt 2024-05-19: We contacted OpenSSH's developers. Successive iterations of patches and patch reviews followed. 2024-06-20: We contacted the distros@openwall. 2024-07-01: Coordinated Release Date. 5 月 19 就联系 openssh 开发者开始打补丁了,这种高危漏洞正规流程应该都是先确保大部分人/发行版有补丁可用后再公开 |
 |
38
MartinWu 2024-07-02 08:57:15 +08:00
|
 |
39
villivateur PRO 2
Ubuntu20.04 无所畏惧,还是 8.2 版本
|
 |
40
GG5332 2024-07-02 09:13:14 +08:00
|
 |
41
CodeCodeStudy 2024-07-02 09:26:25 +08:00
centos 和 open euler 的才 7 点几
|
 |
42
tool2dx 2024-07-02 09:31:15 +08:00
"SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2", from "debian-12.5.0-i386-DVD-1.iso": this is the current Debian stable
version In our experiments, it takes ~10,000 tries on average to win this race condition, so ~3-4 hours with 100 connections (MaxStartups) accepted per 120 seconds (LoginGraceTime). Ultimately, it takes ~6-8 hours on average to obtain a remote root shell. 作者说,平均 7 小时破解一台远程 linux? |
 |
43
salmon5 2024-07-02 09:36:30 +08:00 1
AlmaLinux 9 已经有更新: https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/
openssh 8.7p1-38.el9.alma.2 openssh-clients 8.7p1-38.el9.alma.2 openssh-server 8.7p1-38.el9.alma.2 |
 |
44
xyholic 2024-07-02 09:40:37 +08:00
有没 poc
|
 |
46
x2ve 2024-07-02 09:48:48 +08:00
OpenSSH_7.9p1 Debian-10+deb10u2, OpenSSL 1.1.1n 15 Mar 2022 ;这个版本应该没事吧
|
 |
47
sunnysab 2024-07-02 10:00:16 +08:00 1
archlinux 下,记得服务端重启 sshd ,不然客户端连不上。原因尚不清楚。
害得我差点就要重启服务器了。 |
 |
48
barbery 2024-07-02 10:04:18 +08:00
额 又要更新 真是麻烦
|
 |
49
lekai63 2024-07-02 10:09:50 +08:00
早上紧张了下。仔细一看,我两机器都是 debian11 ,还在 8.4p 呢
|
 |
50
BeforeTooLate 2024-07-02 10:17:37 +08:00
哈哈我一个版本是:OpenSSH_7.2p1
另外一个是:OpenSSH_9.2p1 |
 |
51
coldle 2024-07-02 10:19:29 +08:00 via Android
草了,nixos 源里还是 9.7 ,又得叠 overlay 了
|
 |
52
lolizeppelin 2024-07-02 10:26:21 +08:00
|
 |
54
supuwoerc 2024-07-02 11:42:26 +08:00
运维同学忙起来了~
|
 |
56
Nosub 2024-07-02 12:03:36 +08:00
临时处理办法:
安全组设置 OpenSSH 端口仅对可信地址开放,或是把 OpenSSH 端口先禁用; |
 |
60
19c 2024-07-02 12:31:14 +08:00
@sunnysab 即便看到你这条消息我还是没连上,重启都没用......通过网页 console 连进去发现 sshd 启动失败了,重新写配置才恢复
|
 |
62
proxychains 2024-07-02 13:06:06 +08:00
好消息: 机房几百台 cent7.9 openssh 7.4p1 不影响
坏消息: 我的 arch openssh 9.7p1 |
|
63
LeviMarvin 2024-07-02 14:26:23 +08:00
@yukino 已经更新了,但是 ssh -V 还是这个 OpenSSH_9.8p1
|
 |
64
guabimian 2024-07-02 14:34:55 +08:00
根据 OpenSSH 的通知,在实验室测试中,仅针对 32 位系统成功利用该漏洞。
|
 |
65
lovelylain 2024-07-02 14:52:32 +08:00
openssh-server/now 1:9.6p1-3ubuntu13.3 amd64 [installed,local]
dockerfile 重新 build 的 ubuntu ,这个修复了吗? |
 |
66
dmanbu 2024-07-02 15:05:46 +08:00
昨晚一个通知就爬起来,编译、做 RPM 包、批量更新
|
 |
67
weeei 2024-07-02 15:44:27 +08:00
freebsd 14.1 目前还是有漏洞的版本
|
 |
68
zgzhang 2024-07-02 15:46:32 +08:00
在野的 poc 在 32 位机器也没有成功复现,SSH 的 ACL 还是需要限制呀
|
 |
69
mingtdlb 2024-07-02 15:54:35 +08:00
ssh 一天到晚都出漏洞😂还记得以前给客户修漏洞 就直接改版本号...
|
|
71
cnbatch 2024-07-02 16:05:41 +08:00
@weeei FreeBSD 已经发布了紧急更新,需要用 freebsd-update 来升级,不能用 pkg 管理器来升级
|
 |
72
datou 2024-07-02 16:13:27 +08:00
Ubuntu2404 arm64 版怎么没有更新?
|
|
74
tool2dx 2024-07-02 16:20:16 +08:00
|
 |
75
Dk2014 2024-07-02 16:20:16 +08:00
@lovelylain #65 我本地就这个版本,时间对不上 应该没修
OpenSSH_9.6p1 Ubuntu-3ubuntu13.3, OpenSSL 3.0.13 30 Jan 2024 |
 |
76
zx900930 2024-07-02 16:22:21 +08:00
7.4p1 是过不了等保 3 级漏洞扫描的哦
会报 CVE-2020-15778 CVE-2020-14145 CVE-2017-15906 CVE-2018-15919 CVE-2018-15473 CVE-2021-41617 今年刚过的等保 3 、7.4p1 一片红 手动升级到 9.7p1 过了,没想到现在又要升级了 |
|
77
Dk2014 2024-07-02 16:37:52 +08:00
|
 |
78
shabbyin 2024-07-02 17:20:38 +08:00 1
Ubuntu 24.04
openssh-client - 1:9.6p1-3ubuntu13.3 openssh-server - 1:9.6p1-3ubuntu13.3 Ubuntu 23.10 openssh-client - 1:9.3p1-1ubuntu3.6 openssh-server - 1:9.3p1-1ubuntu3.6 Ubuntu 22.04 openssh-client - 1:8.9p1-3ubuntu0.10 openssh-server - 1:8.9p1-3ubuntu0.10 各版本 ubuntu 的 openssh 修复版本号 |
 |
79
shyling 2024-07-02 17:32:20 +08:00
arch 升完后要手动重启下 sshd ,没重启害我折腾半天
|
 |
80
herozzm 2024-07-02 17:48:17 +08:00
才升级过的,这个 openssh 漏洞也太频繁了
|
 |
81
badboy200600 2024-07-02 18:00:46 +08:00
注意挑时间升级,,,,,升级导致正在运行的服务重启了
|
 |
82
Tink PRO openssh-client/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2]
openssh-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2] openssh-sftp-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2] ssh/xenial-updates,xenial-updates 1:7.2p2-4ubuntu2.10 all [upgradable from: 1:7.2p2-4ubuntu2.2] 我这个古董版本,还需要更新吗 |
 |
83
Bluecoda 2024-07-02 18:32:27 +08:00
我也是 7.2p2 的,貌似不需要更
|
 |
84
wzw 2024-07-02 18:37:09 +08:00
@yyzh 你直接 full-upgrade, 为啥不是 upgrade 就够了, 平时日常维护都是 full-upgrade 吗?
full-upgrade 用在 20.04/22.04 生产环境上会不会不妥? |
 |
85
zsj1029 2024-07-02 18:37:25 +08:00
centos8
OpenSSH_8.0p1, OpenSSL 1.1.1k FIPS 25 Mar 2021 |
 |
87
sunrain 2024-07-02 18:40:20 +08:00
苹果已升级。
 |
 |
88
MrKrabs 2024-07-02 18:45:13 +08:00
我说怎么 ssh 进不去 arch 了,真尼玛幽默
|
 |
89
wentx 2024-07-02 18:48:01 +08:00
 |
 |
91
acess 2024-07-02 19:03:32 +08:00
微软这边 Win11 也有 OpenSSH ,不知道受不受影响,不管怎样我从直接暴露 ssh 改成 wireguard 套一层了。
|
|
94
acess 2024-07-02 19:17:07 +08:00 via Android
@cnbatch
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server 查了一下 qualys 官方博客好像说还不确定能不能在 macos 还有 Windows 上利用…… |
 |
95
7789aa900 2024-07-02 20:22:53 +08:00
@AstroProfundis 啊,我已经照楼上的教程编译安装了,有什么后果吗。怎么恢复原状态
|
|
96
zx900930 2024-07-02 20:25:02 +08:00
CentOS 7 刚批量升完
Updated: openssh.x86_64 0:9.8p1-1.el7 openssh-clients.x86_64 0:9.8p1-1.el7 openssh-server.x86_64 0:9.8p1-1.el7 Complete! [root@k8s-master2 x86_64]# ssh -V OpenSSH_9.8p1, OpenSSL 3.0.14 4 Jun 2024 |
|
98
AstroProfundis 2024-07-02 21:47:00 +08:00 1
@7789aa900 后果就是你之前包管理安装的 ssh 会被编译的覆盖掉,且不说编译参数和源里面打包用的不一样了,这个大概不影响运行,只是理论上可能存在安全性或者性能方面的隐患,主要问题在于这些 make install 丢到系统目录的文件是脱离了包管理的,以后再升级的时候有可能会被包管理报错文件冲突,或者其他乱七八糟的问题,不好说
你可以尝试 make uninstall 删掉自己编译的那些文件,然后 apt install --reinstall ssh 强行重装源里面的包来覆盖回来,不保证好使,记得动手前先备份数据和 /etc/ssh 的配置,完成后重启 sshd, 并且在验证能连上去之前不要断开已有连接 如果真的有需要自己编译替换系统包的情况,要么用按照发行版的打包手段打一个包去替换已有包,这样所有东西都还是包管理管着在,要么最起码在自己编译安装的时候指定 prefix 放到诸如 /usr/local/xxx-x.y.z 或者 /opt/xxx-x.y.z 之类和系统原有包区分开的地方 这还只是 ssh 玩坏了后果仅仅连不上机器而已,不算难救,如果是 glibc 之类的东西,自己 xjb 编译一个把系统的覆盖掉就有得好玩了 |
|
99
7789aa900 2024-07-02 23:28:48 +08:00
@AstroProfundis 非常感谢,如此详细的解答。祝大佬夜夜笙歌,到马老师的年纪也能闪电五连鞭!!
|
 |
100
esee 2024-07-02 23:59:13 +08:00
用的 ubuntu 20 .默认的版本还是 8.2p1 我总是秉承着能用 且没有漏洞,就不去升级 的想法。。
|
Select Language