openssh 远程执行漏洞,debian 12成为重灾区

背景

  • 2024/07/01 暴出了OpenSSH 漏洞,涉及版本在 8.5p1 <= OpenSSH < 9.8p1
  • 版本区间刚好准确命中Debian 12 稳定版本的 openssh-server
  • 未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码
  • Debian Security Tracker

该风险比较大, 需要重点关注,安排升级处理 (以下内容仅针对Debian 12系统 )。看到消息后,已经赶紧加班加点升版本了。

检查OpenSSH版本

$ ssh -V
OpenSSH_8.4p1 Debian-5, OpenSSL 1.1.1k  25 Mar 2021 #debian 11,可不考虑更新
OpenSSH_9.2p1 Debian-2+deb12u2, OpenSSL 3.0.11 19 Sep 2023 # debian 12,需要更新

$ dpkg --list | grep openssh-server | awk '{print $3}' | grep 'deb12u2'
# 若有输出,则需要更新

升级OpenSSH版本

添加 security 源(如果没有配置的话)

cat >> /etc/apt/sources.list <<EOF
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
EOF
  • 注意,国内的加速源没有同步debian-security的源,目前只能用官方的

升级更新

apt update && apt upgrade -y

版本确认

$ssh -V
OpenSSH_9.2p1 Debian-2+deb12u3, OpenSSL 3.0.13 30 Jan 2024

建议

  • Debian 12 系统强烈建议升级 OpenSSH 版本
  • SSH端口建议修改为 非标准 22 端口
  • SSH端口建议限制 IP白名单访问