最近openssh 暴露出一個(gè)安全漏洞CVE-2023-38408，以下是相關(guān)資訊：

2023年7月19日，OpenSSH發(fā)布緊急安全補(bǔ)丁，以解決OpenSSH ssh-agent轉(zhuǎn)發(fā)中存在安全漏洞遠(yuǎn)程執(zhí)行CVE-2023-38408。漏洞由Qualys威脅研究單位(TRU)發(fā)現(xiàn)。

OpenSSH 是Secure Shell (SSH)協(xié)議的開源版本，提供一整套服務(wù)，旨在在客戶端-服務(wù)器框架內(nèi)的不安全網(wǎng)絡(luò)上實(shí)現(xiàn)加密通信。 作為安全網(wǎng)絡(luò)交互的重要組成部分，OpenSSH 是許多單位和企業(yè)網(wǎng)絡(luò)防御策略的重要工具。

ssh-agent在這種情況下發(fā)揮著重要作用。它是一個(gè)輔助程序，通過跟蹤用戶的身份密鑰和密碼來簡化用戶身份驗(yàn)證過程。 一旦這些密鑰存儲在ssh-agent中，它就允許用戶訪問其他服務(wù)器，而無需重新輸入密碼或密碼，從而提供流暢的單點(diǎn)登錄(SSO)體驗(yàn)。

概述

CVE-2023-38408是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，位于 ssh-agent 的轉(zhuǎn)發(fā)功能內(nèi)，特別是涉及提供PKCS#11相關(guān)服務(wù)的情況下。在某些條件下，可以操縱ssh-agent對PKCS#11的支持，以便通過轉(zhuǎn)發(fā)的代理套接字來促進(jìn)遠(yuǎn)程代碼執(zhí)行。利用的先決條件包括受害者系統(tǒng)上存在特定庫以及需要將代理轉(zhuǎn)發(fā)到攻擊者控制的系統(tǒng)。

OpenSSH代理轉(zhuǎn)發(fā)

ssh-agent是一個(gè)后臺程序，可緩存用于SSH公鑰身份驗(yàn)證的私鑰，從而減少常規(guī)密碼輸入的需要。它在X或登錄會話開始時(shí)啟動(dòng)，通過將密鑰存儲在內(nèi)存中并僅在進(jìn)程結(jié)束時(shí)卸載來進(jìn)行操作。

它在自動(dòng)化腳本或需要頻繁服務(wù)器連接的任務(wù)中非常有用，因?yàn)樗梢苑乐共话踩拿艽a存儲或持續(xù)的密碼短語輸入。到ssh-agent的連接可以從更遠(yuǎn)的遠(yuǎn)程轉(zhuǎn)發(fā)，以避免需要將身份驗(yàn)證數(shù)據(jù)存儲在其他機(jī)器上。盡管如此，使用強(qiáng)大的密碼來保護(hù)密鑰仍然至關(guān)重要。

潛在影響

利用此漏洞允許遠(yuǎn)程攻擊者可以在受漏洞影響的OpenSSH轉(zhuǎn)發(fā)的ssh-agent上執(zhí)行任意命令。Qualys安全研究人員已經(jīng)能夠獨(dú)立驗(yàn)證該漏洞并在Ubuntu Desktop 22.04和21.10的安裝上開發(fā)PoC漏洞。其他Linux發(fā)行版可能容易受到攻擊并且可能被利用。

解決方案

為了有效解決和防范CVE-2023-38408，請遵循以下綜合步驟：

首先升級到OpenSSH 9.3p2或更高版本：升級到最新版本的OpenSSH至關(guān)重要，因?yàn)樗徑饴┒吹年P(guān)鍵補(bǔ)丁。確保所有相關(guān)系統(tǒng)和服務(wù)器及時(shí)更新至推薦版本或更高版本。

另外采取預(yù)防措施來避免被利用：

建議在僅僅OpenSSH用于遠(yuǎn)程主機(jī)管理的機(jī)器，通過Openssh配置（sshd_config）、防火墻，安全組ACL等限制來源訪問IP為白名單僅可信IP地址，同時(shí)，非必要，關(guān)閉SSH代理轉(zhuǎn)發(fā)功能，禁止在有關(guān)主機(jī)啟用ssh隧道等。

關(guān)閉SSH代理轉(zhuǎn)發(fā)功能方法為：

配置/etc/ssh/sshd_config

AllowTcpForwarding NO

總結(jié)

新發(fā)現(xiàn)的ssh-agent漏洞影響范圍巨大，具有一定的威脅性，建議有關(guān)部分和企業(yè)即時(shí)升級補(bǔ)丁解決漏洞，并且通過配置、ACL限制等手段以確保安全。

因此，對于紅帽系列的操作系統(tǒng)修復(fù)該安全漏洞，需要制作PRM包，制作過程可參考之前的博文：

centos 7 制作openssh8.7/8.8/8.9/9.0/9.1/9.2/9.3 p1 rpm包升級——筑夢之路_openssh rpm包_筑夢之路的博客-CSDN博客

rpm源碼包

https://download.csdn.net/download/qq_34777982/88086071

二進(jìn)制rpm包見我的資源。?

以下是適用于不同操作系統(tǒng)的rpm包資源：

https://download.csdn.net/download/qq_34777982/88092935

https://download.csdn.net/download/qq_34777982/88090182

https://download.csdn.net/download/qq_34777982/88090150

https://download.csdn.net/download/qq_34777982/88090137

非常感謝大佬yitusitun0425給出的建議，如果僅僅是為了修復(fù)該漏洞，可以直接yum update來更新openssh版本，操作示例如下：

yum  update  openssh-server -y

參考資料：

cve-details文章來源地址http://www.zghlxwxcb.cn/news/detail-603567.html

到了這里，關(guān)于CentOS 7 x86_64 制作openssh 9.3p2 rpm包修復(fù)安全漏洞 —— 筑夢之路的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！