1
cnt2ex 152 天前 1
自从 xz 事件之后,我已经把监听地址限制在一个 VPN 的地址上了
|
2
darksheen 152 天前
看了下我的 almalinux 8 ,用的还是 8.0p1 呢
|
3
LingXingYue 152 天前 2
ubuntu 的软件源好像还没更新,可以自己手动编译安装,也很快
# 安装编译依赖 sudo apt-get update sudo apt-get install -y build-essential zlib1g-dev libssl-dev # 下载指定版本源码 wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz # 解压并进入目录 tar -xzf openssh-9.8p1.tar.gz cd openssh-9.8p1 # 编译和安装 ./configure make sudo make install # 启动并检查安装 sudo systemctl restart ssh ssh -V |
4
cat 152 天前
@LingXingYue 不自己编译的话 是不是只能等 apt 更新啊
|
5
chenluo0429 152 天前 via Android
睡前看到,顺手更新了
|
6
AstroProfundis 152 天前
别瞎搞,sudo make install 完就再也不用包管理更新了呗?
|
7
LeviMarvin 152 天前 1
ArchLinux 躺赢。OpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024
|
8
huagequan 152 天前 via Android 1
https://ubuntu.com/security/notices/USN-6859-1
Ubuntu 的软件源好像更新了 |
9
yukino 152 天前
@LeviMarvin openssh 最新版 9.8p1-1 ,该 `pacman -Syu` 了
|
10
FanChou 152 天前
Debian 11 12 已经修复了 https://security-tracker.debian.org/tracker/CVE-2024-6387
|
13
yyzh 152 天前 via Android
|
14
StinkyTofus 152 天前
我擦,赶紧升级呀
|
15
choury 152 天前
@cat 源里已经修了,要么你没加 security 仓库,要么你用的 mirror 同步有延迟
``` sudo apt upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done The following packages will be upgraded: openssh-client openssh-server openssh-sftp-server ssh 4 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 1,687 kB of archives. After this operation, 0 B of additional disk space will be used. Do you want to continue? [Y/n] y Get:1 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-sftp-server amd64 1:9.2p1-2+deb12u3 [65.8 kB] Get:2 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-server amd64 1:9.2p1-2+deb12u3 [456 kB] Get:3 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-client amd64 1:9.2p1-2+deb12u3 [991 kB] Get:4 http://deb.debian.org/debian-security bookworm-security/main amd64 ssh all 1:9.2p1-2+deb12u3 [174 kB] Fetched 1,687 kB in 2min 20s (12.0 kB/s) Reading changelogs... Done Preconfiguring packages ... (Reading database ... 94393 files and directories currently installed.) Preparing to unpack .../openssh-sftp-server_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-sftp-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../openssh-server_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../openssh-client_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-client (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../ssh_1%3a9.2p1-2+deb12u3_all.deb ... Unpacking ssh (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Setting up openssh-client (1:9.2p1-2+deb12u3) ... Setting up openssh-sftp-server (1:9.2p1-2+deb12u3) ... Setting up openssh-server (1:9.2p1-2+deb12u3) ... ``` |
16
StinkyTofus 152 天前 3
Centos7.9 目前还是 OpenSSH_7.4p1 版本, 是不是无敌了。不用升级了?
|
17
cat 152 天前
@choury @huagequan Ubuntu 22.04 的,已经把 source.list 切换成官方的了,依然没有……
sudo apt upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done Get more security updates through Ubuntu Pro with 'esm-apps' enabled: gsasl-common libgsasl7 Learn more about Ubuntu Pro at https://ubuntu.com/pro The following packages have been kept back: cloud-init python3-update-manager ubuntu-advantage-tools ubuntu-pro-client ubuntu-pro-client-l10n update-manager-core 0 upgraded, 0 newly installed, 0 to remove and 6 not upgraded. |
19
cat 152 天前
@huagequan $ sudo apt policy openssh-server
openssh-server: Installed: 1:8.9p1-3ubuntu0.10 Candidate: 1:8.9p1-3ubuntu0.10 Version table: *** 1:8.9p1-3ubuntu0.10 500 500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages 500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages 100 /var/lib/dpkg/status 1:8.9p1-3 500 500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages |
20
Love4Taylor 152 天前
|
21
james122333 152 天前 via Android
我好像又没事 哈
|
23
Yadomin 152 天前 via Android
年度安全🥇:CentOS 7
|
24
cnbatch 152 天前
看了下 OpenSSH 的公告,发现这个 Bug 几乎就是 Linux-Only ,更进一步地说,是仅限于 glibc 的 Linux 系统受影响
而 OpenSSH 的发源地——OpenBSD ,完全不受影响 这有没有可能是 glibc 的的间接 bug 呢 |
26
dzdh 152 天前
RHEl 8.7p1 暂未收到安全更新
|
28
Ja5onV 152 天前 1
年度安全🥇:CentOS 7 哈哈哈哈 CentOS7.9 不受影响
sshd -v OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 |
29
billgong 152 天前 4
非滚动发行版都是 patch 支持的版本而不是直接升级到最新,比如 Debian (1:9.2p1-2+deb12**u2** -> 1:9.2p1-2+deb12**u3**) 和 Ubuntu (1:8.9p1-3 -> 1:8.9p1-3**ubuntu0.10**) 所以看版本号要看后缀,不是非得升级到 9.8p1
|
30
elboble 152 天前
@cat 确定这个版本 8.9p1-3ubuntu0.10 打了补丁?
我这查的这个版本是 6 月 26 号出的,难道这个 0Day 早就知道了? :~$ dpkg -l | grep openssh ii openssh-client 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) client, for secure access to remote machines ii openssh-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) server, for secure access from remote machines ii openssh-sftp-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) sftp server module, for SFTP access from remote machines :~$ ls /sbin/sshd -l -rwxr-xr-x 1 root root 917192 Jun 26 21:11 /sbin/sshd :~$ ls /bin/ssh -al -rwxr-xr-x 1 root root 846888 Jun 26 21:11 /bin/ssh |
31
yingji0830 152 天前 2
@elboble 按 https://ubuntu.com/security/notices/USN-6859-1 的说法,更新到这个版本应该是安全的
|
32
uSy62nMkdH 152 天前 1
@StinkyTofus CVE-2023-51385 CVE-2023-38408
|
34
vein0 152 天前
@LingXingYue 有可能不显示新版本
如果新版本没显示,就是需要添加环境变量: echo 'export PATH=/usr/local/bin:/usr/local/sbin:$PATH' >> ~/.bashrc 验证生效 source ~/.bashrc |
35
Jack927 152 天前
这个算是修了吗?
``` sudo apt policy openssh-server openssh-server: Installed: 1:8.2p1-4ubuntu0.11 Candidate: 1:8.2p1-4ubuntu0.11 Version table: *** 1:8.2p1-4ubuntu0.11 500 500 http://mirrors.aliyun.com/ubuntu focal-updates/main amd64 Packages 500 http://mirrors.aliyun.com/ubuntu focal-security/main amd64 Packages 100 /var/lib/dpkg/status 1:8.2p1-4 500 500 http://mirrors.aliyun.com/ubuntu focal/main amd64 Packages ``` |
36
shenjinpeng 152 天前
OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3
|
37
xiri 152 天前
@elboble
问题发现团队的公告最后有时间线: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt 2024-05-19: We contacted OpenSSH's developers. Successive iterations of patches and patch reviews followed. 2024-06-20: We contacted the distros@openwall. 2024-07-01: Coordinated Release Date. 5 月 19 就联系 openssh 开发者开始打补丁了,这种高危漏洞正规流程应该都是先确保大部分人/发行版有补丁可用后再公开 |
38
MartinWu 152 天前
|
39
villivateur 152 天前 2
Ubuntu20.04 无所畏惧,还是 8.2 版本
|
40
GG5332 152 天前
|
41
CodeCodeStudy 152 天前
centos 和 open euler 的才 7 点几
|
42
tool2dx 152 天前
"SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2", from "debian-12.5.0-i386-DVD-1.iso": this is the current Debian stable
version In our experiments, it takes ~10,000 tries on average to win this race condition, so ~3-4 hours with 100 connections (MaxStartups) accepted per 120 seconds (LoginGraceTime). Ultimately, it takes ~6-8 hours on average to obtain a remote root shell. 作者说,平均 7 小时破解一台远程 linux? |
43
salmon5 152 天前 1
AlmaLinux 9 已经有更新: https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/
openssh 8.7p1-38.el9.alma.2 openssh-clients 8.7p1-38.el9.alma.2 openssh-server 8.7p1-38.el9.alma.2 |
44
xyholic 152 天前
有没 poc
|
46
x2ve 152 天前
OpenSSH_7.9p1 Debian-10+deb10u2, OpenSSL 1.1.1n 15 Mar 2022 ;这个版本应该没事吧
|
47
sunnysab 152 天前 1
archlinux 下,记得服务端重启 sshd ,不然客户端连不上。原因尚不清楚。
害得我差点就要重启服务器了。 |
48
barbery 152 天前
额 又要更新 真是麻烦
|
49
lekai63 152 天前
早上紧张了下。仔细一看,我两机器都是 debian11 ,还在 8.4p 呢
|
50
BeforeTooLate 152 天前
哈哈我一个版本是:OpenSSH_7.2p1
另外一个是:OpenSSH_9.2p1 |
51
coldle 152 天前 via Android
草了,nixos 源里还是 9.7 ,又得叠 overlay 了
|
52
lolizeppelin 152 天前
|
54
supuwoerc 152 天前
运维同学忙起来了~
|
56
Nosub 152 天前
临时处理办法:
安全组设置 OpenSSH 端口仅对可信地址开放,或是把 OpenSSH 端口先禁用; |
62
proxychains 152 天前
好消息: 机房几百台 cent7.9 openssh 7.4p1 不影响
坏消息: 我的 arch openssh 9.7p1 |
63
LeviMarvin 152 天前
@yukino 已经更新了,但是 ssh -V 还是这个 OpenSSH_9.8p1
|
64
guabimian 152 天前
根据 OpenSSH 的通知,在实验室测试中,仅针对 32 位系统成功利用该漏洞。
|
65
lovelylain 152 天前
openssh-server/now 1:9.6p1-3ubuntu13.3 amd64 [installed,local]
dockerfile 重新 build 的 ubuntu ,这个修复了吗? |
66
dmanbu 152 天前
昨晚一个通知就爬起来,编译、做 RPM 包、批量更新
|
67
weeei 152 天前
freebsd 14.1 目前还是有漏洞的版本
|
68
zgzhang 152 天前
在野的 poc 在 32 位机器也没有成功复现,SSH 的 ACL 还是需要限制呀
|
69
mingtdlb 152 天前
ssh 一天到晚都出漏洞😂还记得以前给客户修漏洞 就直接改版本号...
|
72
datou 152 天前
Ubuntu2404 arm64 版怎么没有更新?
|
75
Dk2014 152 天前
@lovelylain #65 我本地就这个版本,时间对不上 应该没修
OpenSSH_9.6p1 Ubuntu-3ubuntu13.3, OpenSSL 3.0.13 30 Jan 2024 |
76
zx900930 152 天前
7.4p1 是过不了等保 3 级漏洞扫描的哦
会报 CVE-2020-15778 CVE-2020-14145 CVE-2017-15906 CVE-2018-15919 CVE-2018-15473 CVE-2021-41617 今年刚过的等保 3 、7.4p1 一片红 手动升级到 9.7p1 过了,没想到现在又要升级了 |
77
Dk2014 152 天前
|
78
shabbyin 152 天前 1
Ubuntu 24.04
openssh-client - 1:9.6p1-3ubuntu13.3 openssh-server - 1:9.6p1-3ubuntu13.3 Ubuntu 23.10 openssh-client - 1:9.3p1-1ubuntu3.6 openssh-server - 1:9.3p1-1ubuntu3.6 Ubuntu 22.04 openssh-client - 1:8.9p1-3ubuntu0.10 openssh-server - 1:8.9p1-3ubuntu0.10 各版本 ubuntu 的 openssh 修复版本号 |
79
shyling 152 天前
arch 升完后要手动重启下 sshd ,没重启害我折腾半天
|
80
herozzm 152 天前
才升级过的,这个 openssh 漏洞也太频繁了
|
81
badboy200600 152 天前
注意挑时间升级,,,,,升级导致正在运行的服务重启了
|
82
Tink 152 天前
openssh-client/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2]
openssh-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2] openssh-sftp-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2] ssh/xenial-updates,xenial-updates 1:7.2p2-4ubuntu2.10 all [upgradable from: 1:7.2p2-4ubuntu2.2] 我这个古董版本,还需要更新吗 |
83
Bluecoda 152 天前
我也是 7.2p2 的,貌似不需要更
|
84
wzw 152 天前
@yyzh 你直接 full-upgrade, 为啥不是 upgrade 就够了, 平时日常维护都是 full-upgrade 吗?
full-upgrade 用在 20.04/22.04 生产环境上会不会不妥? |
85
zsj1029 152 天前
centos8
OpenSSH_8.0p1, OpenSSL 1.1.1k FIPS 25 Mar 2021 |
87
sunrain 152 天前
|
88
MrKrabs 151 天前
我说怎么 ssh 进不去 arch 了,真尼玛幽默
|
89
wentx 151 天前
|
91
acess 151 天前
微软这边 Win11 也有 OpenSSH ,不知道受不受影响,不管怎样我从直接暴露 ssh 改成 wireguard 套一层了。
|
94
acess 151 天前 via Android
@cnbatch
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server 查了一下 qualys 官方博客好像说还不确定能不能在 macos 还有 Windows 上利用…… |
95
7789aa900 151 天前
@AstroProfundis 啊,我已经照楼上的教程编译安装了,有什么后果吗。怎么恢复原状态
|
96
zx900930 151 天前
CentOS 7 刚批量升完
Updated: openssh.x86_64 0:9.8p1-1.el7 openssh-clients.x86_64 0:9.8p1-1.el7 openssh-server.x86_64 0:9.8p1-1.el7 Complete! [root@k8s-master2 x86_64]# ssh -V OpenSSH_9.8p1, OpenSSL 3.0.14 4 Jun 2024 |
98
AstroProfundis 151 天前 1
@7789aa900 后果就是你之前包管理安装的 ssh 会被编译的覆盖掉,且不说编译参数和源里面打包用的不一样了,这个大概不影响运行,只是理论上可能存在安全性或者性能方面的隐患,主要问题在于这些 make install 丢到系统目录的文件是脱离了包管理的,以后再升级的时候有可能会被包管理报错文件冲突,或者其他乱七八糟的问题,不好说
你可以尝试 make uninstall 删掉自己编译的那些文件,然后 apt install --reinstall ssh 强行重装源里面的包来覆盖回来,不保证好使,记得动手前先备份数据和 /etc/ssh 的配置,完成后重启 sshd, 并且在验证能连上去之前不要断开已有连接 如果真的有需要自己编译替换系统包的情况,要么用按照发行版的打包手段打一个包去替换已有包,这样所有东西都还是包管理管着在,要么最起码在自己编译安装的时候指定 prefix 放到诸如 /usr/local/xxx-x.y.z 或者 /opt/xxx-x.y.z 之类和系统原有包区分开的地方 这还只是 ssh 玩坏了后果仅仅连不上机器而已,不算难救,如果是 glibc 之类的东西,自己 xjb 编译一个把系统的覆盖掉就有得好玩了 |
99
7789aa900 151 天前
@AstroProfundis 非常感谢,如此详细的解答。祝大佬夜夜笙歌,到马老师的年纪也能闪电五连鞭!!
|
100
esee 151 天前
用的 ubuntu 20 .默认的版本还是 8.2p1 我总是秉承着能用 且没有漏洞,就不去升级 的想法。。
|