12 月 19 日,国外漏洞平台 securityfocus 上发布了最新的 OpenSSH(CVE-2016-10009) 远程代码执行漏洞。该漏洞影响范围包括5.0到7.3版本。
本次openssh官方刚刚宣布发布新的openssh版本中同时还修复了包括CVE-2016-10009、CVE-2016-10010、CVE-2016-100011、CVE-2016-100012以及几个没有CVE编号的漏洞,
漏洞编号:CVE-2016-10009
漏洞描述:
sshd服务可以利用转发的agent-socket文件欺骗本机的ssh-agent加载一个恶意的PKCS#11模块,从而可以远程执行代码。
官方评级:中危
漏洞危害:
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致数据泄露。
漏洞利用条件:
可以实现远程利用。
该漏洞利用依赖 ssh-agent ,这个进程默认不启动、只在多主机间免密码登录时才会用到,漏洞利用条件也比较苛刻,
漏洞影响范围:
OpenSSH 7.3
OpenSSH 7.2p2
OpenSSH 7.2
OpenSSH 7.1p2
OpenSSH 7.1p1
OpenSSH 7.1
OpenSSH 7.0
OpenSSH 6.9p1
OpenSSH 6.9
OpenSSH 6.6
OpenSSH 6.5
OpenSSH 6.4
OpenSSH 6.3
OpenSSH 6.2
OpenSSH 6.1
OpenSSH 6.0
OpenSSH 5.8
OpenSSH 5.7
OpenSSH 5.6
OpenSSH 5.5
OpenSSH 5.4
OpenSSH 5.3
OpenSSH 5.2
OpenSSH 5.1
OpenSSH 5.0
据网络空间搜索引擎 ZoomEye 结果显示,目前互联网上中国范围内可探测到的 OpenSSH 设备约有 19,151,00 台,这些设备或成为黑客攻击的潜在目标。
根据当前阿里云提供的ECS操作系统openssh版本显示,不受该漏洞影响。
漏洞修复建议(或缓解措施):
如果您变更过openssh版本,并确认当前openssh版本在受影响范围内,阿里云建议您:
Notice:在升级前,强烈要求您做好快照和文件备份,防止出现升级失败无法远程管理等意外事件发生。
1.优先升级到最新版本OpenSSH version 7.4;
安装新的openSSH,需要先安装新版本的openSSL:
#cd openssl-1.1.0c/
#./config shared
#make depend
#make && make test && make install
安装新的openssh:
# cd /usr/src/usr.bin
# tar zxvf .../openssh-7.4.tar.gz
# cd ssh
# make obj
# make cleandir
# make depend
# make
# make install
# cp ssh_config sshd_config /etc/ssh
2.建议您不要直接将ssh服务等高风险端口服务直接开放到互联网,推荐可以使用×××和堡垒机更安全的方式进行远程运维,防止发生暴力破解和漏洞利用入侵事件发生。
情报来源:
www.securityfocus.com/bid/94968/info
lwn.net/Articles/709677/
www.openssh.com/txt/release-7.4