Portable OpenSSH GSSAPI远程代码执行漏洞(CVE-2006-5051)漏洞解决方案-eqkilly-ChinaUnix博客

快乐每一天

首页　| 　博文目录　| 　关于我

eqkilly

博客访问： 620007
博文数量： 74
博客积分： 1845
博客等级：上尉
技术积分： 731
用户组：普通用户
注册时间： 2005-03-14 20:49

文章分类

全部博文（74）

大数据（1）
经典转载（37）
心路（2）
技术心得（菜鸟）（27）
笑话（4）
未分配的博文（3）

文章存档

2017年（3）

2016年（7）

2015年（4）

2014年（6）

2013年（7）

2012年（10）

2011年（10）

2010年（4）

2009年（5）

2008年（4）

2007年（7）

2006年（6）

2005年（1）

我的朋友

相关博文

Portable OpenSSH GSSAPI远程代码执行漏洞(CVE-2006-5051)漏洞解决方案

分类：系统运维

2014-12-15 11:12:18

转自 http://twobit.blog.chinaunix.net/uid-29179844-id-4273021.html
最近给公司内网的服务器做了一次全面的扫描，出现几个高危的漏洞，网上查了一下，普遍存在啊。所谓不扫不知道，一扫吓一跳啊。
漏洞的名称为Portable OpenSSH GSSAPI远程代码执行漏洞(CVE-2006-5051)及OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)，厂家给出的解决方案很笼统。经过各方查找资料，大致的解决方案是升级到高版本的openssh，目前最新版本是openssh 6.6p1.

下载地址：

可以根据自己的需要选择下载升级，其实没别要升级到最新版本，一般都是选择目前较新且稳定的版本，今天的文章里我们以最新的openssh 6.6p1为例。由于目前服务器都处于生产环境中，基于一切操作安全为重的思想，稳当期间准备好telnet，以防止ssh更新出现问题，不能远程连接上服务器，自己跑现场可是比较悲催的.....
下面看更新步骤
一.安装开启telnet服务
yum install telnet-* -y

#vi /etc/xinetd.d/telnet 把yes改为no

# /etc/init.d/xinetd restart
注1：如出现 "Unencrypted connection refused. Goodbye."错误提示可能是启动了“ekrb5-telnet”服务，解决方法：将/etc/xinetd.d/ekrb5-telnet里面的disable改成=yes，再重启xinetd服务service xinetd restart就OK了！
注2：linux的telnet默认是不允许root用户直接登陆的，可以选择用户账号登陆，跳转到root权限。也可以修改配置文件，这里笔者不推荐，还是安全原因。
二.安装更新openssh
下载地址：

wget -S openssh-6.6p1.tar.gz现在高版本OPENSSH安装程序，现在最高版本是6.6p1
tar xvf openssh-6.6p1.tar.gz
cd openssh-6.6p1

./configure --prefix=/usr --sysconfdir=/etc/ssh
注：编译源码，注意编译路径， OPENSSH安装在原来的路径下，这样后面安装完成后就不用再次copy SSHD服务到/etc/init.d/。
make
mv /etc/ssh/* /etc/sshbak/
安装在原路径下，需要把原来的配置文件移走，不然make install 可能会报错
make install
/etc/init.d/sshd restart
这里注意安全，如果你前面编译报错了，还强制安装，SSHD服务可能就起不来。

chkconfig --add sshd
chkconfig sshd on

使用ssh -V 命令查看一下
ssh -V
OpenSSH_6.6p1, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
已经成功升级至6.6版本！

ssh更新操作关系到操作者和服务器之间的连接，万事小心为上。不然一个小失误可能让你大费周章哦。

阅读(5439) | 评论(0) | 转发(0) |

上一篇：nginx访问日志不记录favicon.ico

下一篇：centos7安装nagios插件时报错

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6