說明

此文章主要記錄工作中遇到的漏洞以及修復(fù)過程。

SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)

漏洞信息

解決辦法

建議：避免使用IDEA、DES和3DES算法

1. OpenSSL Security Advisory [22 Sep 2016]
   鏈接：https://www.openssl.org/news/secadv/20160922.txt
   請在下列網(wǎng)頁下載最新版本：
   https://www.openssl.org/source/
2. 對于nginx、apache、lighttpd等服務(wù)器禁止使用DES加密算法
   主要是修改conf文件
3. Windows系統(tǒng)可以參考如下鏈接：
   https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel

驗證方法

根據(jù)SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)原理，通過發(fā)送精心構(gòu)造的數(shù)據(jù)包到目標(biāo)服務(wù)，根據(jù)目標(biāo)的響應(yīng)情況，驗證漏洞是否存在

修復(fù)步驟

說明

原本我的nginx中使用的openssl 版本號為：1.0.2s
升級后的openssl 版本號為：1.1.1K

查詢當(dāng)前使用的openssl版本號

使用命令查詢當(dāng)前版本號

openssl version

下載并安裝新版本的openssl

進入到 /usr/local 目錄，使用以下命令下載最新版的安裝包到此目錄下。

wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz --no-check-certificate

解壓安裝包

tar xvf openssl-1.1.1k.tar.gz 

進入解壓出來的文件夾

 cd /usr/local/openssl-1.1.1k/

編譯安裝

./config && make && make install

echo "/usr/local/lib64/" >> /etc/ld.so.conf

ldconfig

將舊的備份

mv /usr/bin/openssl /usr/bin/openssl.old

創(chuàng)建文件軟連接

ln -sv /usr/local/bin/openssl /usr/bin/openssl

結(jié)束后在此查詢openssl的版本號，驗證是否升級成功

替換nginx中使用的openssl到最新版

進入nginx的安裝目錄下的sbin下，運行命令查看詳細信息

./nginx -V

并從詳細信息的onfigure arguments中獲取到舊版本的詳細配置參數(shù)，我的參數(shù)如下:

--prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.0.2s

找到nginx的 configure 文件。以下是我的nginx目錄結(jié)構(gòu).configure 文件在 nginx-1.23.2 中，cd nginx-1.23.2 進入此文件夾。

使用以下命令重新編譯nginx.

# 注意：
# --prefix 之后的配置內(nèi)容和舊版的一致。但是 --with-openssl 部分必須改成新的版本號。

./configure   --prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.1.1k && make && make install

等待編譯完成。
完成后，關(guān)閉原來運行著的nginx

pkill -9 nginx

進入安裝路徑下的sbin 目錄下啟動nginx

./nginx

啟動完成后查看nginx的版本信息，驗證nginx的openssl版本號是否已經(jīng)升級成功。

將以下的內(nèi)容替換 nginx 的443配置中的 ssl_ciphers 內(nèi)容，禁用指定算法

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE:!IDEA:!DES;

進入安裝路徑下的sbin 目錄下重新加載nginx配置

./nginx -s reload

sudo 漏洞 CVE-2021-3156

漏洞信息

此漏洞是在sudo中存在一個基于堆的緩沖區(qū)溢出漏洞,非root用戶可以使用sudo命令來以root用戶身份執(zhí)行命令.sudo在參數(shù)中轉(zhuǎn)義反斜杠導(dǎo)致堆緩沖區(qū)溢出.攻擊者在不需要獲得root密碼的情況下取得root權(quán)限。

影響版本

1. 從版本1.8.2 到版本 1.8.31sp12
2. 從版本1.9.0 到版本 1.9.5sp1

解決辦法

前往sudo官網(wǎng)下載最新版本的安裝包升級。

驗證方法

1. 查看當(dāng)前的sudo版本是否在受影響的版本范圍內(nèi)

sudo -V

2. 使用普通用戶執(zhí)行以下命令

sudoedit -s /

若出現(xiàn) sudoedit: /: not a regular file 表示存在漏洞

修復(fù)步驟

1. 去sudo官方下載最新的安裝包，此處我下載的版本為 1.9.13p3
   官網(wǎng)地址： 地址
   

2. 將下載的壓縮包上傳到服務(wù)器的 /root下，并使用以下命令將壓縮包解壓

tar zxvf sudo-1.9.13p3.tar.gz

3. 解壓后得到文件夾sudo-1.9.13p3 ，將此文件夾復(fù)制到 /usr/share/doc/ 下

cp -r ~/sudo-1.9.13p3 /usr/share/doc/

4. 進入 文件夾 sudo-1.9.13p3 中 執(zhí)行以下命令.
   注意：-docdir= 之后的路徑

./configure --prefix=/usr --libexecdir=/usr/lib --with-secure-path --with-all-insults --with-env-editor --docdir=/usr/share/doc/sudo-1.9.13p3 --with-passprompt="[sudo] password for %p: " && make && make install && ln -sfv libsudo_util.so.0.0.0 /usr/lib/sudo/libsudo_util.so.0

5. 等待安裝完成之后查詢版本號為1.9.13p3 時，說明升級成功。
   

OpenSSH ssh-agent 遠程代碼執(zhí)行漏洞（CVE-2023-38408）

漏洞信息

OpenSSH ssh-agent 組件存在遠程代碼執(zhí)行漏洞（CVE-2023-38408）。此漏洞允許遠程攻擊者在 OpenSSH 上執(zhí)行任意命令。

影響版本

5.5 < OpenSSH ≤ 9.3p1

解決辦法

升級最新為版本

修復(fù)步驟

1. 下載新版包

下載地址：官網(wǎng)下載地址
此處我下載的是openssh-9.4p1.tar.gz版本

2. 開始升級

注意：文章來源地址http://www.zghlxwxcb.cn/news/detail-467400.html

1. openssl必須版本必須大于等于1.1.1,建議先按照本文中的【SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)】升級openssl的版本
2. 需要依賴gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel ，所以留意一下服務(wù)器中是否已經(jīng)有相關(guān)依賴，沒有則需要安裝。
3. 此處使用腳本進行安裝，安裝步驟請詳細查看shell腳本。（需要看懂shell腳本，當(dāng)然腳本里有輸出提示）。腳本地址：centerOs7安裝相關(guān)的應(yīng)用腳本 中的 【更新openssh】 章節(jié)。

到了這里，關(guān)于【漏洞修復(fù)】 CVE Linux 系統(tǒng)應(yīng)用漏洞修復(fù)筆記的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！