12 月 19 日,国外漏洞平台 securityfocus 上发布了最新的 OpenSSH(CVE-2016-10009) 远程代码执行漏洞。该漏洞影响范围包括5.0到7.3版本。 
本次openssh官方刚刚宣布发布新的openssh版本中同时还修复了包括CVE-2016-10009、CVE-2016-10010、CVE-2016-100011、CVE-2016-100012以及几个没有CVE编号的漏洞, 
                

 
 
漏洞编号:CVE-2016-10009 
 
漏洞描述:  
sshd服务可以利用转发的agent-socket文件欺骗本机的ssh-agent加载一个恶意的PKCS#11模块,从而可以远程执行代码。 
 
官方评级:中危 
 
漏洞危害:  
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致数据泄露。 
 
漏洞利用条件:  
可以实现远程利用。  
该漏洞利用依赖 ssh-agent ,这个进程默认不启动、只在多主机间免密码登录时才会用到,漏洞利用条件也比较苛刻, 
漏洞影响范围:  
 

  • OpenSSH 7.3

  • OpenSSH 7.2p2

  • OpenSSH 7.2

  • OpenSSH 7.1p2

  • OpenSSH 7.1p1

  • OpenSSH 7.1

  • OpenSSH 7.0

  • OpenSSH 6.9p1

  • OpenSSH 6.9

  • OpenSSH 6.6

  • OpenSSH 6.5

  • OpenSSH 6.4

  • OpenSSH 6.3

  • OpenSSH 6.2

  • OpenSSH 6.1

  • OpenSSH 6.0

  • OpenSSH 5.8

  • OpenSSH 5.7

  • OpenSSH 5.6

  • OpenSSH 5.5

  • OpenSSH 5.4

  • OpenSSH 5.3

  • OpenSSH 5.2

  • OpenSSH 5.1

  • OpenSSH 5.0

 
据网络空间搜索引擎 ZoomEye 结果显示,目前互联网上中国范围内可探测到的 OpenSSH 设备约有 19,151,00 台,这些设备或成为黑客攻击的潜在目标。 
根据当前阿里提供的ECS操作系统openssh版本显示,不受该漏洞影响。 
OpenSSH远程代码执行漏洞(CVE-2016-10009)_漏洞修复 
 
漏洞修复建议(或缓解措施): 
如果您变更过openssh版本,并确认当前openssh版本在受影响范围内,阿里云建议您: 
Notice:在升级前,强烈要求您做好快照和文件备份,防止出现升级失败无法远程管理等意外事件发生。 
1.优先升级到最新版本OpenSSH version 7.4; 
安装新的openSSH,需要先安装新版本的openSSL: 

复制代码

  1. #cd openssl-1.1.0c/

  2. #./config shared

  3. #make depend

  4. #make && make test && make install

 
安装新的openssh: 

复制代码

  1. # cd /usr/src/usr.bin

  2. # tar zxvf .../openssh-7.4.tar.gz

  3. # cd ssh

  4. # make obj

  5. # make cleandir

  6. # make depend

  7. # make

  8. # make install

  9. # cp ssh_config sshd_config /etc/ssh

 
 
 
2.建议您不要直接将ssh服务等高风险端口服务直接开放到互联网,推荐可以使用×××和堡垒机更安全的方式进行远程运维,防止发生暴力破解和漏洞利用入侵事件发生。 
 
情报来源: 

  1. www.securityfocus.com/bid/94968/info

  2. lwn.net/Articles/709677/

  3. www.openssh.com/txt/release-7.4