在 Amazon Linux 上更新 OpenSSH - Amazon 存储库已过期

在 Amazon Linux 上更新 OpenSSH - Amazon 存储库已过期

我今天读到重大脆弱性OpenSSH 中存在此问题,最新版本 7.1p2 已修复此问题。根据这个故事你的私钥很容易被泄露。

我正在使用最新的 Amazon Linux AMI,并且所有内容均根据 Amazon 的存储库进行更新。

[root@aws /]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1k-fips 8 Jan 2015

以下是 Amazon yum 存储库中可用的软件包列表

yum list | grep openssh

openssh.x86_64                      6.6.1p1-22.58.amzn1            @amzn-updates
openssh-clients.x86_64              6.6.1p1-22.58.amzn1            @amzn-updates
openssh-server.x86_64               6.6.1p1-22.58.amzn1            @amzn-updates
openssh-keycat.x86_64               6.6.1p1-22.58.amzn1            amzn-updates
openssh-ldap.x86_64                 6.6.1p1-22.58.amzn1            amzn-updates

亚马逊存储库似乎在 OpenSSH 更新方面落后了大约两年。我读到过一些供应商将更新移植到旧版本的 OpenSSH,因此这可能不是问题,或者亚马逊可能很快就会解决这个问题。

问题:

  • 这真的是个问题吗?
  • 如果存在问题,最好的更新方法是什么?我通常会找到另一个 yum 存储库,提高其优先级,然后从那里进行更新。

答案1

是的,如果你通过 ssh 连接到攻击者可能控制的机器,这确实是一个问题。

UseRoaming no在亚马逊更新其软件包之前,您可以通过在任何将使用 ssh 客户端的机器上的 /etc/ssh/ssh_config 中添加该行来阻止该错误影响您。

答案2

我已在 amazon Linux 2 上将 OpenSSH 7.4 升级到 9.3,并按照以下步骤进行操作

  yum groupinstall "Development Tools"
  yum install pam-devel libselinux-devel
  tar zxvf openssh-9.3p1.tar.gz 
  cd openssh-9.3p1/
  ./configure 
  ls -l /usr/local/etc
  ./configure  --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh
   make
   make install

运行“make install”时,您将收到以下错误注释,并重新运行“make install”

/etc/ssh/sshd_config line 77: Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line 78: Unsupported option GSSAPICleanupCredentials

相关内容