漏洞的名稱為Portable OpenSSH GSSAPI遠端代碼執行漏洞(CVE-2006-5051)及OpenSSH J-PAKE授權問題漏洞(CVE-2010-4478),廠家給出的解決方案很籠統。經過各方查找資料,大緻的解決方案是更新到高版本的openssh,目前最新版本是openssh 6.7p1.
下載下傳位址:http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/
可以根據自己的需要選擇下載下傳更新,其實沒别要更新到最新版本,一般都是選擇目前較新且穩定的版本,今天的文章裡我們以最新的openssh 6.7p1為例。由于目前伺服器都處于生産環境中,基于一切操作安全為重的思想,穩當期間準備好telnet,以防止ssh更新出現問題,不能遠端連接配接上伺服器,自己跑現場可是比較悲催的.....
下面看更新步驟
一.安裝開啟telnet服務
注1:如出現 "Unencrypted connection refused. Goodbye."錯誤提示可能是啟動了“ekrb5-telnet”服務,解決方法:将/etc/xinetd.d/ekrb5-telnet裡面的disable改成=yes,再重新開機xinetd服務service xinetd restart就OK了!
注2:linux的telnet預設是不允許root使用者直接登陸的,可以選擇使用者賬号登陸,跳轉到root權限。也可以修改配置檔案,這裡筆者不推薦,還是安全原因。
二.安裝更新openssh
下載下傳位址:http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/
現在高版本OPENSSH安裝程式,現在最高版本是6.7p1
注:編譯源碼,注意編譯路徑, OPENSSH安裝在原來的路徑下,這樣後面安裝完成後就不用再次copy SSHD服務到/etc/init.d/。
安裝在原路徑下,需要把原來的配置檔案移走,不然make install 可能會報錯
這裡注意安全,如果你前面編譯報錯了,還強制安裝,SSHD服務可能就起不來。
使用ssh -V 指令檢視一下
OpenSSH_6.7p1, OpenSSL 1.0.1e-fips 11 Feb 2013
已經成功更新至6.7版本!