当前位置: 代码网 > it编程>编程语言>Java > CVE-2023-38408漏洞修复--openssh&openssl升级

CVE-2023-38408漏洞修复--openssh&openssl升级

2024年08月02日 Java 我要评论
报错:openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory。c、升级ssh备份时同时备份 /etc/ssh 和 /usr/local/openssh 两个文件夹。b、上传并解压:tar -xzvf openssh-9.3p2.tar.gz。则在后面加上:--without-openssl-header-check。

目录

                                    一、cve-2023-38408漏洞简单描述

二、升级前准备

三、升级openssl

四、升级openssh

五、升级失败恢复方法

一、cve-2023-38408漏洞简单描述

        openssh(openbsd secure shell)是加拿大openbsd计划组的一套用于安全访问远程计算机的连接工具。该工具是ssh协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 openssh 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的pkcs11功能存在安全问题。攻击者可利用该漏洞执行远程代码。

二、升级前准备

        a、**操作前多开一个窗口,并使用top命令挂起,最好是先安装一个telnet server,防止升级失败后无法连接服务器,就只能去机房了
        b、openssh-9.3p2必须要openssl 1.0.1及以上
        c、升级ssh备份时同时备份   /etc/ssh  和  /usr/local/openssh 两个文件夹
        d、升级ssl备份时同时备份    /etc/ssl  和  /usr/local/openssl 两个文件夹

三、升级openssl

        1、备份:

                mv /etc/ssl /etc/ssl@20231124
                cp -r /usr/local/openssl /usr/local/openssl@20023124

        2、下载上传解压:

                下载地址:https://www.openssl.org/source/openssl-1.1.1u.tar.gz

                上传下载好的安装包至服务器并解压:tar -xzvf openssl-1.1.1u.tar.gz

        3、编译、安装:

                进入解压路径:cd openssl-1.1.1u

                编译安装:        ./config shared && make && make install

        4、查看版本:openssl version

        5、报错解决,执行openssl version报错处理:

                报错:openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: no such file or directory

                执行下面命令解决:

                ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/
                ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/

        查看版本:openssl version

四、升级openssh

        1、备份:
                mv /etc/ssh /etc/ssh@20231124
                cp -r /usr/local/openssh /usr/local/openssh@20023124

        2、下载及上传安装包解压

                a、下载地址:

https://cdn.openbsd.org/pub/openbsd/openssh/portable/openssh-9.3p2.tar.gz

                b、上传并解压:tar -xzvf openssh-9.3p2.tar.gz

        3、编译:

                a、进入解压目录:cd openssh-9.3p2

                b、编译:

./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/lib64/ --with-zlib --with-ssl-engine --with-selinux

        若编译报错:configure: error: selinux support requires selinux.h header

        则使用如下命令编译:

./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/lib64/ --with-zlib --with-ssl-engine

        4、安装:make && make install

        查询版本:ssh -v

        5、常见报错及问题处理

                a、若编译报错提示:configure: error: your openssl headers do not match your  library. check config.log for details.

                则在后面加上:--without-openssl-header-check

                b、若报错:checking openssl library version... configure: error: openssl >= 1.0.1 required (have "10000003 (openssl 1.0.0-fips 29 mar 2010)")

                则需升级ssl

                c、若ssh -v还是老版本号

                退出当前登录账号(命令:exit)或重新登陆后再查询即可:ssh -v

五、升级失败恢复方法

        升级前一定要多开一个窗口并使用top命令挂起,防止升级失败后无法连接服务器,就只能去机房了(最好装一个telnet server备用)

        ssh恢复:
        升级前一定要备份好下面两个文件夹
        /etc/ssh
        /usr/local/openssh
        升级失败后,上面两个备份文件恢复就行
        ssl恢复:同理
        /etc/ssl
        /usr/local/openssl

=========================================================================

 相关命令:

        which ssh
        which openssl

               

(0)

相关文章:

版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。 如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。

发表评论

验证码:
最近更新的文章
推荐阅读
大家感兴趣的文章
Copyright © 2017-2025  代码网 保留所有权利. 粤ICP备2024248653号
站长QQ:2386932994 | 联系邮箱:2386932994@qq.com