openssh 远程执行漏洞,debian 12成为重灾区
背景
- 2024/07/01 暴出了OpenSSH 漏洞,涉及版本在
8.5p1 <= OpenSSH < 9.8p1 - 版本区间刚好准确命中Debian 12 稳定版本的
openssh-server - 未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码
- Debian Security Tracker
该风险比较大, 需要重点关注,安排升级处理 (以下内容仅针对Debian 12系统 )。看到消息后,已经赶紧加班加点升版本了。
检查OpenSSH版本
$ ssh -V
OpenSSH_8.4p1 Debian-5, OpenSSL 1.1.1k 25 Mar 2021 #debian 11,可不考虑更新
OpenSSH_9.2p1 Debian-2+deb12u2, OpenSSL 3.0.11 19 Sep 2023 # debian 12,需要更新
$ dpkg --list | grep openssh-server | awk '{print $3}' | grep 'deb12u2'
# 若有输出,则需要更新
升级OpenSSH版本
添加 security 源(如果没有配置的话)
cat >> /etc/apt/sources.list <<EOF
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
EOF
- 注意,国内的加速源没有同步debian-security的源,目前只能用官方的
升级更新
apt update && apt upgrade -y
版本确认
$ssh -V
OpenSSH_9.2p1 Debian-2+deb12u3, OpenSSL 3.0.13 30 Jan 2024
建议
- Debian 12 系统强烈建议升级 OpenSSH 版本
- SSH端口建议修改为 非标准 22 端口
- SSH端口建议限制 IP白名单访问