脆弱性ID
CVE-2016から10009
脆弱性名
OpenSSHのリモートコード実行の脆弱性
脆弱性の説明
sshdサービスは、リモートでコードが実行される可能、悪意のあるPKCS#11モジュールをロードするために、マシンにssh-agentを欺くために転送エージェント - ソケットファイルを利用することができます。
公式評価
中等
ハザードの脆弱性
ハッカーがリモートコマンドの実行がひどい場合にはデータの損失を引き起こす可能性が利用します。
条件をエクスプロイト
これは、リモートから悪用可能かもしれません。
ザ・エクスプロイトは、ssh-agentの依存しています。ログインパスワードは、条件が複数のホスト間で自由に比較的厳しいです悪用したときにデフォルトで起動しないプロセスは、のみ使用されます。
この脆弱性は、範囲に影響を与えます
OpenSSHの7.3
OpenSSH 7.2p2
OpenSSHの7.2
OpenSSH 7.1p2
OpenSSH 7.1p1
OpenSSHの7.1
OpenSSHの7.0
OpenSSH 6.9p1
OpenSSHの6.9
OpenSSHの6.6
OpenSSHの6.5
OpenSSHの6.4
OpenSSHの6.3
OpenSSHの6.2
OpenSSHの6.1
OpenSSHの6.0
OpenSSHの5.8
OpenSSHの5.7
OpenSSHの5.6
OpenSSHの5.5
OpenSSHの5.4
OpenSSHの5.3
OpenSSHの5.2
OpenSSHの5.1
OpenSSHの5.0
脆弱性の検出
現在のバージョンを表示するには、次のコマンドを使用します。
SSH -V
アンナイト検査を使用します。
バグ修正をお勧めします(または軽減)
デフォルトのOpenSSHで提供ECSアリクラウドオペレーティングシステムは、この脆弱性の影響を受けません。あなたが患部にはOpenSSHの現在のバージョンをOpenSSHののバージョンを変更し、ことを確認した場合は、アリの雲は、あなたがOpenSSHのバージョン7.4およびSSHサーバ上でにアップグレードすることをお勧めします。以下の方法をアップグレードします。
同時に、あなたが直接、高リスクのSSHサービスのポートは、インターネットに直接開く奉仕しないことをお勧めします。ブルートフォースを防止し、侵略を利用するなど、私たちは安全な方法を使用することをお勧めします×××と要塞は、ROMSました。
OpenSSHのアップグレード
私たちは、あなたが最新のインストールパッケージのないアップデート元は、あなたが次のアップグレードの方法をアップグレードすることができれば、yumのアップデートを使用してアップグレードすることをお勧めします。一例として、以下のCentOS 6.8 64bit版。
注意:
アップグレードの前に、私たちは強く、リモート管理やその他の事故を防ぐことができない不具合をアップグレードし、スナップショットや、ファイルのバックアップを行うことをお勧めします。
次の操作でインストールすると、ウィンドウのSSH接続は、サーバ、SSHが失敗したアップグレード後に避けるアップグレードする必要が開くようにしてください、あなたはサーバーに接続できません。または、アップグレードが成功するまでアップグレードは、代替として、Telnetサービスをインストールするのが最善である前に、次にTelnetを停止します。
次のコードのアップグレードのzlibを実行します。
wget wget http://zlib.net/zlib-1.2.11.tar.gz
tar zxvf zlib-1.2.11.tar.gz
cd zlib-1.2.11
./configure
make
make installアップグレードされたバージョンlibzを表示するには、次のコマンドを使用します。
ll /usr/local/lib結果を以下に示します。
zlibの
opensslの-フリップをアップグレードします。インストールする前に、最新バージョンかどうかを確認するには。はい場合は、手順4に進み、そうでない場合は、最新バージョンをダウンロードしてアップグレードするには、次のコードを実行します。
wget https://www.openssl.org/source/openssl-fips-2.0.14.tar.gz
tar zxvf openssl-fips-2.0.14.tar.gz
cd openssl-fips-2.0.14
./config
make
make install次のコードのアップグレードOpenSSLを実行します。
wget https://www.openssl.org/source/openssl-1.1.0e.tar.gz
tar zxvf openssl-1.1.0e.tar.gz
cd openssl-1.1.0e
./config
make
make install
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ln -s /usr/local/ssl/bin/openssl /usr/bin/opensslOpenSSLのアップグレード版、次の結果を表示します。
OpenSSLの
PAMインストールされている次のコードを実行します。
yum install pam* -yOpenSSHのインストールアップグレードします。
wget https://mirrors.evowise.com/pub/OpenBSD/OpenSSH/portable/openssh-7.4p1.tar.gz
tar zxvf openssh-7.4p1.tar.gz
cd openssh-7.4p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-privsep-path=/var/lib/sshd --with-ssl-dir=/usr/local/lib64 --without-hardening
make
make install#SSHDバックアップファイル、sshd_20170209_oldの名前を変更
mv /etc/init.d/sshd /etc/init.d/sshd_20170209_old#は、設定ファイル、エンパワーメントをコピーし、ブートエントリに追加
cd /root/openssh-7.4p1/contrib/redhat
cp sshd.init /etc/init.d/sshd
cp ssh_config /etc/ssh/ssh_config#Yを入力し、プロンプトを上書きする(元のファイルの名前が変更されている場合、カバー)
cp -p sshd_config /etc/ssh/sshd_config#Yを入力し、プロンプトを上書きする(元のファイルの名前が変更されている場合、カバー)
chmod u+x /etc/init.d/sshd
chkconfig --add sshd
chkconfig sshd on#は、sshdサービスを再起動します。
service sshd restartアップグレードバージョンを確認し、最新バージョンが表示されます。
ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2i 22 Sep 2016