1
cnt2ex 5 天前 1
自从 xz 事件之后,我已经把监听地址限制在一个 VPN 的地址上了
|
2
darksheen 5 天前
看了下我的 almalinux 8 ,用的还是 8.0p1 呢
|
3
LingXingYue 5 天前 2
ubuntu 的软件源好像还没更新,可以自己手动编译安装,也很快
# 安装编译依赖 sudo apt-get update sudo apt-get install -y build-essential zlib1g-dev libssl-dev # 下载指定版本源码 wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz # 解压并进入目录 tar -xzf openssh-9.8p1.tar.gz cd openssh-9.8p1 # 编译和安装 ./configure make sudo make install # 启动并检查安装 sudo systemctl restart ssh ssh -V |
4
cat 5 天前
@LingXingYue 不自己编译的话 是不是只能等 apt 更新啊
|
5
chenluo0429 5 天前 via Android
睡前看到,顺手更新了
|
6
AstroProfundis 5 天前
别瞎搞,sudo make install 完就再也不用包管理更新了呗?
|
7
LeviMarvin 5 天前 1
ArchLinux 躺赢。OpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024
|
8
huagequan 5 天前 via Android 1
https://ubuntu.com/security/notices/USN-6859-1
Ubuntu 的软件源好像更新了 |
9
yukino 5 天前
@LeviMarvin openssh 最新版 9.8p1-1 ,该 `pacman -Syu` 了
|
10
FanChou 5 天前
Debian 11 12 已经修复了 https://security-tracker.debian.org/tracker/CVE-2024-6387
|
13
yyzh 5 天前 via Android
|
14
StinkyTofus 5 天前
我擦,赶紧升级呀
|
15
choury 5 天前
@cat 源里已经修了,要么你没加 security 仓库,要么你用的 mirror 同步有延迟
``` sudo apt upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done The following packages will be upgraded: openssh-client openssh-server openssh-sftp-server ssh 4 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 1,687 kB of archives. After this operation, 0 B of additional disk space will be used. Do you want to continue? [Y/n] y Get:1 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-sftp-server amd64 1:9.2p1-2+deb12u3 [65.8 kB] Get:2 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-server amd64 1:9.2p1-2+deb12u3 [456 kB] Get:3 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-client amd64 1:9.2p1-2+deb12u3 [991 kB] Get:4 http://deb.debian.org/debian-security bookworm-security/main amd64 ssh all 1:9.2p1-2+deb12u3 [174 kB] Fetched 1,687 kB in 2min 20s (12.0 kB/s) Reading changelogs... Done Preconfiguring packages ... (Reading database ... 94393 files and directories currently installed.) Preparing to unpack .../openssh-sftp-server_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-sftp-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../openssh-server_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../openssh-client_1%3a9.2p1-2+deb12u3_amd64.deb ... Unpacking openssh-client (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Preparing to unpack .../ssh_1%3a9.2p1-2+deb12u3_all.deb ... Unpacking ssh (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ... Setting up openssh-client (1:9.2p1-2+deb12u3) ... Setting up openssh-sftp-server (1:9.2p1-2+deb12u3) ... Setting up openssh-server (1:9.2p1-2+deb12u3) ... ``` |
16
StinkyTofus 5 天前 3
Centos7.9 目前还是 OpenSSH_7.4p1 版本, 是不是无敌了。不用升级了?
|
17
cat 5 天前
@choury @huagequan Ubuntu 22.04 的,已经把 source.list 切换成官方的了,依然没有……
sudo apt upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done Get more security updates through Ubuntu Pro with 'esm-apps' enabled: gsasl-common libgsasl7 Learn more about Ubuntu Pro at https://ubuntu.com/pro The following packages have been kept back: cloud-init python3-update-manager ubuntu-advantage-tools ubuntu-pro-client ubuntu-pro-client-l10n update-manager-core 0 upgraded, 0 newly installed, 0 to remove and 6 not upgraded. |
19
cat 5 天前
@huagequan $ sudo apt policy openssh-server
openssh-server: Installed: 1:8.9p1-3ubuntu0.10 Candidate: 1:8.9p1-3ubuntu0.10 Version table: *** 1:8.9p1-3ubuntu0.10 500 500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages 500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages 100 /var/lib/dpkg/status 1:8.9p1-3 500 500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages |
20
Love4Taylor 5 天前
|
21
james122333 5 天前 via Android
我好像又没事 哈
|
23
Yadomin 4 天前 via Android
年度安全🥇:CentOS 7
|
24
cnbatch 4 天前
看了下 OpenSSH 的公告,发现这个 Bug 几乎就是 Linux-Only ,更进一步地说,是仅限于 glibc 的 Linux 系统受影响
而 OpenSSH 的发源地——OpenBSD ,完全不受影响 这有没有可能是 glibc 的的间接 bug 呢 |
26
dzdh 4 天前
RHEl 8.7p1 暂未收到安全更新
|
28
Ja5onV 4 天前 1
年度安全🥇:CentOS 7 哈哈哈哈 CentOS7.9 不受影响
sshd -v OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 |
29
billgong 4 天前 3
非滚动发行版都是 patch 支持的版本而不是直接升级到最新,比如 Debian (1:9.2p1-2+deb12**u2** -> 1:9.2p1-2+deb12**u3**) 和 Ubuntu (1:8.9p1-3 -> 1:8.9p1-3**ubuntu0.10**) 所以看版本号要看后缀,不是非得升级到 9.8p1
|
30
elboble 4 天前
@cat 确定这个版本 8.9p1-3ubuntu0.10 打了补丁?
我这查的这个版本是 6 月 26 号出的,难道这个 0Day 早就知道了? :~$ dpkg -l | grep openssh ii openssh-client 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) client, for secure access to remote machines ii openssh-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) server, for secure access from remote machines ii openssh-sftp-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) sftp server module, for SFTP access from remote machines :~$ ls /sbin/sshd -l -rwxr-xr-x 1 root root 917192 Jun 26 21:11 /sbin/sshd :~$ ls /bin/ssh -al -rwxr-xr-x 1 root root 846888 Jun 26 21:11 /bin/ssh |
31
yingji0830 4 天前 2
@elboble 按 https://ubuntu.com/security/notices/USN-6859-1 的说法,更新到这个版本应该是安全的
|
32
uSy62nMkdH 4 天前 1
@StinkyTofus CVE-2023-51385 CVE-2023-38408
|
34
vein0 4 天前
@LingXingYue 有可能不显示新版本
如果新版本没显示,就是需要添加环境变量: echo 'export PATH=/usr/local/bin:/usr/local/sbin:$PATH' >> ~/.bashrc 验证生效 source ~/.bashrc |
35
Jack927 4 天前
这个算是修了吗?
``` sudo apt policy openssh-server openssh-server: Installed: 1:8.2p1-4ubuntu0.11 Candidate: 1:8.2p1-4ubuntu0.11 Version table: *** 1:8.2p1-4ubuntu0.11 500 500 http://mirrors.aliyun.com/ubuntu focal-updates/main amd64 Packages 500 http://mirrors.aliyun.com/ubuntu focal-security/main amd64 Packages 100 /var/lib/dpkg/status 1:8.2p1-4 500 500 http://mirrors.aliyun.com/ubuntu focal/main amd64 Packages ``` |
36
shenjinpeng 4 天前
OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3
|
37
xiri 4 天前
@elboble
问题发现团队的公告最后有时间线: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt 2024-05-19: We contacted OpenSSH's developers. Successive iterations of patches and patch reviews followed. 2024-06-20: We contacted the distros@openwall. 2024-07-01: Coordinated Release Date. 5 月 19 就联系 openssh 开发者开始打补丁了,这种高危漏洞正规流程应该都是先确保大部分人/发行版有补丁可用后再公开 |
38
MartinWu 4 天前
|
39
villivateur 4 天前 2
Ubuntu20.04 无所畏惧,还是 8.2 版本
|
40
GG5332 4 天前
|
41
CodeCodeStudy 4 天前
centos 和 open euler 的才 7 点几
|
42
tool2dx 4 天前
"SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2", from "debian-12.5.0-i386-DVD-1.iso": this is the current Debian stable
version In our experiments, it takes ~10,000 tries on average to win this race condition, so ~3-4 hours with 100 connections (MaxStartups) accepted per 120 seconds (LoginGraceTime). Ultimately, it takes ~6-8 hours on average to obtain a remote root shell. 作者说,平均 7 小时破解一台远程 linux? |
43
salmon5 4 天前 1
AlmaLinux 9 已经有更新: https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/
openssh 8.7p1-38.el9.alma.2 openssh-clients 8.7p1-38.el9.alma.2 openssh-server 8.7p1-38.el9.alma.2 |
44
xyholic 4 天前
有没 poc
|
46
x2ve 4 天前
OpenSSH_7.9p1 Debian-10+deb10u2, OpenSSL 1.1.1n 15 Mar 2022 ;这个版本应该没事吧
|
47
sunnysab 4 天前 1
archlinux 下,记得服务端重启 sshd ,不然客户端连不上。原因尚不清楚。
害得我差点就要重启服务器了。 |
48
barbery 4 天前
额 又要更新 真是麻烦
|
49
lekai63 4 天前
早上紧张了下。仔细一看,我两机器都是 debian11 ,还在 8.4p 呢
|
50
BeforeTooLate 4 天前
哈哈我一个版本是:OpenSSH_7.2p1
另外一个是:OpenSSH_9.2p1 |
51
coldle 4 天前 via Android
草了,nixos 源里还是 9.7 ,又得叠 overlay 了
|
52
lolizeppelin 4 天前
|
54
supuwoerc 4 天前
运维同学忙起来了~
|
56
Nosub 4 天前
临时处理办法:
安全组设置 OpenSSH 端口仅对可信地址开放,或是把 OpenSSH 端口先禁用; |
62
proxychains 4 天前
好消息: 机房几百台 cent7.9 openssh 7.4p1 不影响
坏消息: 我的 arch openssh 9.7p1 |
63
LeviMarvin 4 天前
@yukino 已经更新了,但是 ssh -V 还是这个 OpenSSH_9.8p1
|
64
guabimian 4 天前
根据 OpenSSH 的通知,在实验室测试中,仅针对 32 位系统成功利用该漏洞。
|
65
lovelylain 4 天前
openssh-server/now 1:9.6p1-3ubuntu13.3 amd64 [installed,local]
dockerfile 重新 build 的 ubuntu ,这个修复了吗? |
66
dmanbu 4 天前
昨晚一个通知就爬起来,编译、做 RPM 包、批量更新
|
67
weeei 4 天前
freebsd 14.1 目前还是有漏洞的版本
|
68
zgzhang 4 天前
在野的 poc 在 32 位机器也没有成功复现,SSH 的 ACL 还是需要限制呀
|
69
mingtdlb 4 天前
ssh 一天到晚都出漏洞😂还记得以前给客户修漏洞 就直接改版本号...
|
72
datou 4 天前
Ubuntu2404 arm64 版怎么没有更新?
|
75
Dk2014 4 天前
@lovelylain #65 我本地就这个版本,时间对不上 应该没修
OpenSSH_9.6p1 Ubuntu-3ubuntu13.3, OpenSSL 3.0.13 30 Jan 2024 |
76
zx900930 4 天前
7.4p1 是过不了等保 3 级漏洞扫描的哦
会报 CVE-2020-15778 CVE-2020-14145 CVE-2017-15906 CVE-2018-15919 CVE-2018-15473 CVE-2021-41617 今年刚过的等保 3 、7.4p1 一片红 手动升级到 9.7p1 过了,没想到现在又要升级了 |
77
Dk2014 4 天前
|
78
shabbyin 4 天前
Ubuntu 24.04
openssh-client - 1:9.6p1-3ubuntu13.3 openssh-server - 1:9.6p1-3ubuntu13.3 Ubuntu 23.10 openssh-client - 1:9.3p1-1ubuntu3.6 openssh-server - 1:9.3p1-1ubuntu3.6 Ubuntu 22.04 openssh-client - 1:8.9p1-3ubuntu0.10 openssh-server - 1:8.9p1-3ubuntu0.10 各版本 ubuntu 的 openssh 修复版本号 |
79
shyling 4 天前
arch 升完后要手动重启下 sshd ,没重启害我折腾半天
|
80
herozzm 4 天前
才升级过的,这个 openssh 漏洞也太频繁了
|
81
badboy200600 4 天前
注意挑时间升级,,,,,升级导致正在运行的服务重启了
|
82
Tink 4 天前
openssh-client/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2]
openssh-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2] openssh-sftp-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2] ssh/xenial-updates,xenial-updates 1:7.2p2-4ubuntu2.10 all [upgradable from: 1:7.2p2-4ubuntu2.2] 我这个古董版本,还需要更新吗 |
83
Bluecoda 4 天前
我也是 7.2p2 的,貌似不需要更
|
84
wzw 4 天前
@yyzh 你直接 full-upgrade, 为啥不是 upgrade 就够了, 平时日常维护都是 full-upgrade 吗?
full-upgrade 用在 20.04/22.04 生产环境上会不会不妥? |
85
zsj1029 4 天前
centos8
OpenSSH_8.0p1, OpenSSL 1.1.1k FIPS 25 Mar 2021 |
87
sunrain 4 天前
|
88
MrKrabs 4 天前
我说怎么 ssh 进不去 arch 了,真尼玛幽默
|
89
wentx 4 天前
|
91
acess 4 天前
微软这边 Win11 也有 OpenSSH ,不知道受不受影响,不管怎样我从直接暴露 ssh 改成 wireguard 套一层了。
|
94
acess 4 天前 via Android
@cnbatch
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server 查了一下 qualys 官方博客好像说还不确定能不能在 macos 还有 Windows 上利用…… |
95
7789aa900 4 天前
@AstroProfundis 啊,我已经照楼上的教程编译安装了,有什么后果吗。怎么恢复原状态
|
96
zx900930 4 天前
CentOS 7 刚批量升完
Updated: openssh.x86_64 0:9.8p1-1.el7 openssh-clients.x86_64 0:9.8p1-1.el7 openssh-server.x86_64 0:9.8p1-1.el7 Complete! [root@k8s-master2 x86_64]# ssh -V OpenSSH_9.8p1, OpenSSL 3.0.14 4 Jun 2024 |
98
AstroProfundis 4 天前 1
@7789aa900 后果就是你之前包管理安装的 ssh 会被编译的覆盖掉,且不说编译参数和源里面打包用的不一样了,这个大概不影响运行,只是理论上可能存在安全性或者性能方面的隐患,主要问题在于这些 make install 丢到系统目录的文件是脱离了包管理的,以后再升级的时候有可能会被包管理报错文件冲突,或者其他乱七八糟的问题,不好说
你可以尝试 make uninstall 删掉自己编译的那些文件,然后 apt install --reinstall ssh 强行重装源里面的包来覆盖回来,不保证好使,记得动手前先备份数据和 /etc/ssh 的配置,完成后重启 sshd, 并且在验证能连上去之前不要断开已有连接 如果真的有需要自己编译替换系统包的情况,要么用按照发行版的打包手段打一个包去替换已有包,这样所有东西都还是包管理管着在,要么最起码在自己编译安装的时候指定 prefix 放到诸如 /usr/local/xxx-x.y.z 或者 /opt/xxx-x.y.z 之类和系统原有包区分开的地方 这还只是 ssh 玩坏了后果仅仅连不上机器而已,不算难救,如果是 glibc 之类的东西,自己 xjb 编译一个把系统的覆盖掉就有得好玩了 |
99
7789aa900 4 天前
@AstroProfundis 非常感谢,如此详细的解答。祝大佬夜夜笙歌,到马老师的年纪也能闪电五连鞭!!
|
100
esee 4 天前
用的 ubuntu 20 .默认的版本还是 8.2p1 我总是秉承着能用 且没有漏洞,就不去升级 的想法。。
|