OpenSSH 爆高危漏洞 CVE-2024-6387

自从 xz 事件之后，我已经把监听地址限制在一个 VPN 的地址上了

看了下我的 almalinux 8 ，用的还是 8.0p1 呢

ubuntu 的软件源好像还没更新，可以自己手动编译安装，也很快
# 安装编译依赖
sudo apt-get update
sudo apt-get install -y build-essential zlib1g-dev libssl-dev

# 下载指定版本源码
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

# 解压并进入目录
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1

# 编译和安装
./configure
make
sudo make install

# 启动并检查安装
sudo systemctl restart ssh
ssh -V

@LingXingYue 不自己编译的话 是不是只能等 apt 更新啊

睡前看到，顺手更新了

别瞎搞，sudo make install 完就再也不用包管理更新了呗？

ArchLinux 躺赢。OpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024

https://ubuntu.com/security/notices/USN-6859-1
Ubuntu 的软件源好像更新了

@LeviMarvin openssh 最新版 9.8p1-1 ，该 `pacman -Syu` 了

Debian 11 12 已经修复了 https://security-tracker.debian.org/tracker/CVE-2024-6387

@huagequan apt update 还是没有，要怎么更新这个啊，求教

@cat 你是什么版本的 Ubuntu

@LingXingYue ubuntu 出紧急更新了

我擦，赶紧升级呀

@cat 源里已经修了，要么你没加 security 仓库，要么你用的 mirror 同步有延迟
```
sudo apt upgrade
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
openssh-client openssh-server openssh-sftp-server ssh
4 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,687 kB of archives.
After this operation, 0 B of additional disk space will be used.
Do you want to continue? [Y/n] y
Get:1 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-sftp-server amd64 1:9.2p1-2+deb12u3 [65.8 kB]
Get:2 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-server amd64 1:9.2p1-2+deb12u3 [456 kB]
Get:3 http://deb.debian.org/debian-security bookworm-security/main amd64 openssh-client amd64 1:9.2p1-2+deb12u3 [991 kB]
Get:4 http://deb.debian.org/debian-security bookworm-security/main amd64 ssh all 1:9.2p1-2+deb12u3 [174 kB]
Fetched 1,687 kB in 2min 20s (12.0 kB/s)
Reading changelogs... Done
Preconfiguring packages ...
(Reading database ... 94393 files and directories currently installed.)
Preparing to unpack .../openssh-sftp-server_1%3a9.2p1-2+deb12u3_amd64.deb ...
Unpacking openssh-sftp-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ...
Preparing to unpack .../openssh-server_1%3a9.2p1-2+deb12u3_amd64.deb ...
Unpacking openssh-server (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ...
Preparing to unpack .../openssh-client_1%3a9.2p1-2+deb12u3_amd64.deb ...
Unpacking openssh-client (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ...
Preparing to unpack .../ssh_1%3a9.2p1-2+deb12u3_all.deb ...
Unpacking ssh (1:9.2p1-2+deb12u3) over (1:9.2p1-2+deb12u2) ...
Setting up openssh-client (1:9.2p1-2+deb12u3) ...
Setting up openssh-sftp-server (1:9.2p1-2+deb12u3) ...
Setting up openssh-server (1:9.2p1-2+deb12u3) ...

```

Centos7.9 目前还是 OpenSSH_7.4p1 版本， 是不是无敌了。不用升级了？

@choury @huagequan Ubuntu 22.04 的，已经把 source.list 切换成官方的了，依然没有……

sudo apt upgrade
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
Get more security updates through Ubuntu Pro with 'esm-apps' enabled:
gsasl-common libgsasl7
Learn more about Ubuntu Pro at https://ubuntu.com/pro
The following packages have been kept back:
cloud-init python3-update-manager ubuntu-advantage-tools ubuntu-pro-client ubuntu-pro-client-l10n
update-manager-core
0 upgraded, 0 newly installed, 0 to remove and 6 not upgraded.

@cat apt policy openssh-server 这个命令看看版本

@huagequan $ sudo apt policy openssh-server
openssh-server:
Installed: 1:8.9p1-3ubuntu0.10
Candidate: 1:8.9p1-3ubuntu0.10
Version table:
*** 1:8.9p1-3ubuntu0.10 500
500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
100 /var/lib/dpkg/status
1:8.9p1-3 500
500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages

Arch 修了

https://archlinux.org/news/the-sshd-service-needs-to-be-restarted-after-upgrading-to-openssh-98p1/

我好像又没事 哈

@cat 你这不是已经更新了吗

年度安全🥇：CentOS 7

看了下 OpenSSH 的公告，发现这个 Bug 几乎就是 Linux-Only ，更进一步地说，是仅限于 glibc 的 Linux 系统受影响

而 OpenSSH 的发源地——OpenBSD ，完全不受影响

这有没有可能是 glibc 的的间接 bug 呢

@huagequan 噢！我悟了！ 8.9p1-3ubuntu0.10 重点是在最后的 0.10 ，我以为要最前面的 8.9 更新到 9.x 才行，谢谢大佬！

RHEl 8.7p1 暂未收到安全更新

@cnbatch 不算是 bug 吧，只能说是行为不太一样。
比如说头孢和阿莫西林都是抗生素，但吃头孢不能喝酒，那你不能说这是头孢的 bug 吧。

年度安全🥇：CentOS 7 哈哈哈哈 CentOS7.9 不受影响
sshd -v
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017

非滚动发行版都是 patch 支持的版本而不是直接升级到最新，比如 Debian (1:9.2p1-2+deb12**u2** -> 1:9.2p1-2+deb12**u3**) 和 Ubuntu (1:8.9p1-3 -> 1:8.9p1-3**ubuntu0.10**) 所以看版本号要看后缀，不是非得升级到 9.8p1

@cat 确定这个版本 8.9p1-3ubuntu0.10 打了补丁？

我这查的这个版本是 6 月 26 号出的，难道这个 0Day 早就知道了？

:~$ dpkg -l | grep openssh
ii openssh-client 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) client, for secure access to remote machines
ii openssh-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) server, for secure access from remote machines
ii openssh-sftp-server 1:8.9p1-3ubuntu0.10 amd64 secure shell (SSH) sftp server module, for SFTP access from remote machines
:~$ ls /sbin/sshd -l
-rwxr-xr-x 1 root root 917192 Jun 26 21:11 /sbin/sshd
:~$ ls /bin/ssh -al
-rwxr-xr-x 1 root root 846888 Jun 26 21:11 /bin/ssh

@elboble 按 https://ubuntu.com/security/notices/USN-6859-1 的说法，更新到这个版本应该是安全的

@StinkyTofus CVE-2023-51385 CVE-2023-38408

@elboble Debian 的补丁是 6/22 就合并了。

@LingXingYue 有可能不显示新版本
如果新版本没显示，就是需要添加环境变量：
echo 'export PATH=/usr/local/bin:/usr/local/sbin:$PATH' >> ~/.bashrc
验证生效
source ~/.bashrc

这个算是修了吗？

```
sudo apt policy openssh-server
openssh-server:
Installed: 1:8.2p1-4ubuntu0.11
Candidate: 1:8.2p1-4ubuntu0.11
Version table:
*** 1:8.2p1-4ubuntu0.11 500
500 http://mirrors.aliyun.com/ubuntu focal-updates/main amd64 Packages
500 http://mirrors.aliyun.com/ubuntu focal-security/main amd64 Packages
100 /var/lib/dpkg/status
1:8.2p1-4 500
500 http://mirrors.aliyun.com/ubuntu focal/main amd64 Packages
```

OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3

@elboble
问题发现团队的公告最后有时间线： https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
2024-05-19: We contacted OpenSSH's developers. Successive iterations of
patches and patch reviews followed.
2024-06-20: We contacted the distros@openwall.
2024-07-01: Coordinated Release Date.

5 月 19 就联系 openssh 开发者开始打补丁了，这种高危漏洞正规流程应该都是先确保大部分人/发行版有补丁可用后再公开

https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/ AlmaLinux9 fix

Ubuntu20.04 无所畏惧，还是 8.2 版本

@elboble
了解一下，负责任的漏洞披露流程。
https://zh.wikipedia.org/wiki/%E8%B4%9F%E8%B4%A3%E4%BB%BB%E7%9A%84%E6%8A%AB%E9%9C%B2

centos 和 open euler 的才 7 点几

"SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2", from "debian-12.5.0-i386-DVD-1.iso": this is the current Debian stable
version

In our experiments, it takes ~10,000 tries on average to win this race condition, so ~3-4 hours with 100 connections (MaxStartups) accepted per 120 seconds (LoginGraceTime). Ultimately, it takes ~6-8 hours on average to obtain a remote root shell.

作者说，平均 7 小时破解一台远程 linux?

AlmaLinux 9 已经有更新： https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/
openssh 8.7p1-38.el9.alma.2
openssh-clients 8.7p1-38.el9.alma.2
openssh-server 8.7p1-38.el9.alma.2

有没 poc

@salmon5 #43 这就是 AlmaLinux 的的优势（相对 CentOS 或 RockyLinux ）。

OpenSSH_7.9p1 Debian-10+deb10u2, OpenSSL 1.1.1n 15 Mar 2022 ；这个版本应该没事吧

archlinux 下，记得服务端重启 sshd ，不然客户端连不上。原因尚不清楚。

害得我差点就要重启服务器了。

额 又要更新 真是麻烦

早上紧张了下。仔细一看，我两机器都是 debian11 ，还在 8.4p 呢

哈哈我一个版本是：OpenSSH_7.2p1
另外一个是：OpenSSH_9.2p1

草了，nixos 源里还是 9.7 ，又得叠 overlay 了

https://forums.rockylinux.org/t/openssh-vulnerability-cve-2024-6387/14883

rockly 出补丁了,可以先用再等红帽修复

@coldle unstable 已经是 9.8p1 了

运维同学忙起来了～

@supuwoerc 都是内网，有什么可忙的

临时处理办法：

安全组设置 OpenSSH 端口仅对可信地址开放，或是把 OpenSSH 端口先禁用；

@moenayuki #53 早上看的就是 ubstable ，估计刚更的

@Jack927 修了看后面的 0.11

@Nosub 不用那么复杂，官方有提到，配置文件里把 LoginGraceTime 改成 0 就可以。

@sunnysab 即便看到你这条消息我还是没连上，重启都没用......通过网页 console 连进去发现 sshd 启动失败了，重新写配置才恢复

@supuwoerc #54 版本太老以至于忙不起来

好消息: 机房几百台 cent7.9 openssh 7.4p1 不影响
坏消息: 我的 arch openssh 9.7p1

@yukino 已经更新了，但是 ssh -V 还是这个 OpenSSH_9.8p1

根据 OpenSSH 的通知，在实验室测试中，仅针对 32 位系统成功利用该漏洞。

openssh-server/now 1:9.6p1-3ubuntu13.3 amd64 [installed,local]
dockerfile 重新 build 的 ubuntu ，这个修复了吗？

昨晚一个通知就爬起来，编译、做 RPM 包、批量更新

freebsd 14.1 目前还是有漏洞的版本

在野的 poc 在 32 位机器也没有成功复现，SSH 的 ACL 还是需要限制呀

ssh 一天到晚都出漏洞😂还记得以前给客户修漏洞 就直接改版本号...

@tool2dx #59 这办法是个坑

@weeei FreeBSD 已经发布了紧急更新，需要用 freebsd-update 来升级，不能用 pkg 管理器来升级

Ubuntu2404 arm64 版怎么没有更新？

@datou 错了，是 2204

@zgzhang "在野的 poc 在 32 位机器也没有成功复现"

poc 里面都是伪代码，连个握手协议都没写完，肯定没办法成功复现。

@lovelylain #65 我本地就这个版本，时间对不上 应该没修
OpenSSH_9.6p1 Ubuntu-3ubuntu13.3, OpenSSL 3.0.13 30 Jan 2024

7.4p1 是过不了等保 3 级漏洞扫描的哦
会报
CVE-2020-15778
CVE-2020-14145
CVE-2017-15906
CVE-2018-15919
CVE-2018-15473
CVE-2021-41617

今年刚过的等保 3 、7.4p1 一片红

手动升级到 9.7p1 过了，没想到现在又要升级了

@lovelylain #65 看 ubuntu 的公告好像是修了，奇怪 后面的日期怎么不变
https://ubuntu.com/security/notices/USN-6859-1

Ubuntu 24.04
openssh-client - 1:9.6p1-3ubuntu13.3
openssh-server - 1:9.6p1-3ubuntu13.3
Ubuntu 23.10
openssh-client - 1:9.3p1-1ubuntu3.6
openssh-server - 1:9.3p1-1ubuntu3.6
Ubuntu 22.04
openssh-client - 1:8.9p1-3ubuntu0.10
openssh-server - 1:8.9p1-3ubuntu0.10

各版本 ubuntu 的 openssh 修复版本号

arch 升完后要手动重启下 sshd ，没重启害我折腾半天

才升级过的，这个 openssh 漏洞也太频繁了

注意挑时间升级,,,,,升级导致正在运行的服务重启了

openssh-client/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2]
openssh-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2]
openssh-sftp-server/xenial-updates 1:7.2p2-4ubuntu2.10 amd64 [upgradable from: 1:7.2p2-4ubuntu2.2]
ssh/xenial-updates,xenial-updates 1:7.2p2-4ubuntu2.10 all [upgradable from: 1:7.2p2-4ubuntu2.2]

我这个古董版本，还需要更新吗

我也是 7.2p2 的，貌似不需要更

@yyzh 你直接 full-upgrade, 为啥不是 upgrade 就够了, 平时日常维护都是 full-upgrade 吗?

full-upgrade 用在 20.04/22.04 生产环境上会不会不妥?

centos8
OpenSSH_8.0p1, OpenSSL 1.1.1k FIPS 25 Mar 2021

@darksheen 就是 centos8 一样的

苹果已升级。

我说怎么 ssh 进不去 arch 了，真尼玛幽默

@cnbatch 上官网看了安全公告了，已经更新。感谢

微软这边 Win11 也有 OpenSSH ，不知道受不受影响，不管怎样我从直接暴露 ssh 改成 wireguard 套一层了。

@acess Windows 内置的 OpenSSH 不受影响
目前只有 glibc / Linux 才会受影响

@yyzh
@wzw
我平时都是 apt-get dist-upgrade 的

@cnbatch
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
查了一下 qualys 官方博客好像说还不确定能不能在 macos 还有 Windows 上利用……

@AstroProfundis 啊，我已经照楼上的教程编译安装了，有什么后果吗。怎么恢复原状态

CentOS 7 刚批量升完

Updated:
openssh.x86_64 0:9.8p1-1.el7 openssh-clients.x86_64 0:9.8p1-1.el7 openssh-server.x86_64 0:9.8p1-1.el7

Complete!
[root@k8s-master2 x86_64]# ssh -V
OpenSSH_9.8p1, OpenSSL 3.0.14 4 Jun 2024

@wzw 我的是 24.04 才刚装两个月.
另外你的 20.04 好像官方没给修了吧?

@7789aa900 后果就是你之前包管理安装的 ssh 会被编译的覆盖掉，且不说编译参数和源里面打包用的不一样了，这个大概不影响运行，只是理论上可能存在安全性或者性能方面的隐患，主要问题在于这些 make install 丢到系统目录的文件是脱离了包管理的，以后再升级的时候有可能会被包管理报错文件冲突，或者其他乱七八糟的问题，不好说

你可以尝试 make uninstall 删掉自己编译的那些文件，然后 apt install --reinstall ssh 强行重装源里面的包来覆盖回来，不保证好使，记得动手前先备份数据和 /etc/ssh 的配置，完成后重启 sshd, 并且在验证能连上去之前不要断开已有连接

如果真的有需要自己编译替换系统包的情况，要么用按照发行版的打包手段打一个包去替换已有包，这样所有东西都还是包管理管着在，要么最起码在自己编译安装的时候指定 prefix 放到诸如 /usr/local/xxx-x.y.z 或者 /opt/xxx-x.y.z 之类和系统原有包区分开的地方

这还只是 ssh 玩坏了后果仅仅连不上机器而已，不算难救，如果是 glibc 之类的东西，自己 xjb 编译一个把系统的覆盖掉就有得好玩了

@AstroProfundis 非常感谢，如此详细的解答。祝大佬夜夜笙歌，到马老师的年纪也能闪电五连鞭！！

用的 ubuntu 20 .默认的版本还是 8.2p1 我总是秉承着能用 且没有漏洞，就不去升级 的想法。。