我今天读到重大脆弱性OpenSSH 中存在此问题,最新版本 7.1p2 已修复此问题。根据这个故事你的私钥很容易被泄露。
我正在使用最新的 Amazon Linux AMI,并且所有内容均根据 Amazon 的存储库进行更新。
[root@aws /]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1k-fips 8 Jan 2015
以下是 Amazon yum 存储库中可用的软件包列表
yum list | grep openssh
openssh.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-clients.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-server.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-keycat.x86_64 6.6.1p1-22.58.amzn1 amzn-updates
openssh-ldap.x86_64 6.6.1p1-22.58.amzn1 amzn-updates
亚马逊存储库似乎在 OpenSSH 更新方面落后了大约两年。我读到过一些供应商将更新移植到旧版本的 OpenSSH,因此这可能不是问题,或者亚马逊可能很快就会解决这个问题。
问题:
- 这真的是个问题吗?
- 如果存在问题,最好的更新方法是什么?我通常会找到另一个 yum 存储库,提高其优先级,然后从那里进行更新。
答案1
是的,如果你通过 ssh 连接到攻击者可能控制的机器,这确实是一个问题。
UseRoaming no
在亚马逊更新其软件包之前,您可以通过在任何将使用 ssh 客户端的机器上的 /etc/ssh/ssh_config 中添加该行来阻止该错误影响您。
答案2
我已在 amazon Linux 2 上将 OpenSSH 7.4 升级到 9.3,并按照以下步骤进行操作
yum groupinstall "Development Tools"
yum install pam-devel libselinux-devel
tar zxvf openssh-9.3p1.tar.gz
cd openssh-9.3p1/
./configure
ls -l /usr/local/etc
./configure --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh
make
make install
运行“make install”时,您将收到以下错误注释,并重新运行“make install”
/etc/ssh/sshd_config line 77: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 78: Unsupported option GSSAPICleanupCredentials