OpenSSH【安装 03】远程代码执行漏洞CVE-2024-6387修复(OpenSSH_9.7p1升级到9.8p1及cp: 无法创建普通文件“/usr/sbin/sshd“:文本文件忙问题处理)

最新推荐文章于 2025-07-26 16:57:06 发布
最新推荐文章于 2025-07-26 16:57:06 发布
阅读量933 收藏 44
点赞数 46
CC 4.0 BY-SA版权
分类专栏: # ... .. . SSH 文章标签: linux openssh ssh 漏洞 运维 sshd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39168541/article/details/149297470

远程代码执行漏洞CVE-2024-6387修复


本文处理以下问题:

  • OpenSSH_9.7p1升级到OpenSSH_9.8p1
  • cp: 无法创建普通文件"/usr/sbin/sshd":文本文件忙

链接:https://pan.baidu.com/s/1tUBYK4WzCiJBcCqQDOtQhw?pwd=8tfv
提取码:8tfv

(已添加本次升级所需文件 openssh-9.8p1.tar.gz)也可以自行下载。

本文适用CentOS7.7 和 7.8且 OpenSSH 版本已升级到 9.7p1的情况,升级过程的可以参考《OpenSSH漏洞修复》,其他版本未测试。

1.环境说明

如按照《OpenSSH漏洞修复》已升级到 9.7p1版本, 以下依赖和 zlib-1.3.1.tar.gzopenssl-3.2.0.tar.gz均已安装。

# 1.【已下载】的26个依赖文件
perl-IPC-Cmd-0.80-4.el7.noarch.rpm
pyparsing-1.5.6-9.el7.noarch.rpm
gdbm-devel-1.10-8.el7.x86_64.rpm
perl-Test-Harness-3.28-3.el7.noarch.rpm
perl-ExtUtils-Manifest-1.61-244.el7.noarch.rpm
perl-version-0.99.07-6.el7.x86_64.rpm
perl-Perl-OSType-1.003-3.el7.noarch.rpm
perl-Module-Load-Conditional-0.54-3.el7.noarch.rpm
libdb-devel-5.3.21-25.el7.x86_64.rpm
perl-Module-Load-0.24-3.el7.noarch.rpm
perl-ExtUtils-MakeMaker-6.68-3.el7.noarch.rpm
perl-local-lib-1.008010-4.el7.noarch.rpm
perl-Data-Dumper-2.145-3.el7.x86_64.rpm
perl-Digest-1.17-245.el7.noarch.rpm
perl-Module-Metadata-1.000018-2.el7.noarch.rpm
perl-Digest-SHA-5.85-4.el7.x86_64.rpm
perl-Locale-Maketext-1.23-3.el7.noarch.rpm
perl-Params-Check-0.38-2.el7.noarch.rpm
perl-ExtUtils-ParseXS-3.18-3.el7.noarch.rpm
systemtap-sdt-devel-4.0-13.el7.x86_64.rpm
perl-devel-5.16.3-299.el7_9.x86_64.rpm
perl-ExtUtils-CBuilder-0.28.2.6-299.el7_9.noarch.rpm
perl-Locale-Maketext-Simple-0.21-299.el7_9.noarch.rpm
perl-ExtUtils-Install-1.58-299.el7_9.noarch.rpm
perl-Module-CoreList-2.76.02-299.el7_9.noarch.rpm
perl-CPAN-1.9800-299.el7_9.noarch.rpm

# 2.安装
rpm -ivh --force *.rpm

2.OpenSSH升级过程

升级前请多打开几个SSH连接,并输入 top使其保持连接状态,然后进行以下操作。

2.1 备份

# 备份ssh文件
cp -r /etc/ssh /etc/ssh.old
cp -p /usr/bin/ssh /usr/bin/ssh.bak
cp -p /usr/sbin/sshd /usr/sbin/sshd.bak
cp -p /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bak

2.2 升级

  • 直接下载或官网下载后上传openssh-9.8p1.tar.gz
# 1.解压
tar -zxvf openssh-9.8p1.tar.gz
cd openssh-9.8p1

# 2.编译安装【3分钟左右】
./configure --prefix=/usr/local/ssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl
make -j 4 && make install
  • 配置及覆盖旧版本
# 1.ssh允许root登录 需要密码进行验证
echo 'PermitRootLogin yes' >> /usr/local/ssh/etc/sshd_config
echo 'PubkeyAuthentication yes' >> /usr/local/ssh/etc/sshd_config
echo 'PasswordAuthentication yes' >> /usr/local/ssh/etc/sshd_config

# 2.停止sshd服务
systemctl stop sshd

# 3.将编译安装的新配置文件拷贝到原路径下
cp /usr/local/ssh/bin/ssh /usr/bin/ssh
cp /usr/local/ssh/sbin/sshd /usr/sbin/sshd
cp /usr/local/ssh/bin/ssh-keygen /usr/bin/ssh-keygen
cp /usr/local/ssh/etc/sshd_config /etc/ssh/sshd_config
cp /usr/local/ssh/etc/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub
 
# 4.拷贝启动脚本
cp -p ./contrib/redhat/sshd.init /etc/init.d/sshd
# 5.给sshd添加可执行权限
chmod +x /etc/init.d/sshd
# 6.设置开机自启
systemctl enable sshd
# 7.重新启动sshd服务
systemctl restart sshd
# 8.查看sshd服务状态
systemctl status sshd
# 9.查看ssh版本是否升级成功,可以查看到已经是9.8p1版本了
ssh -V
OpenSSH_9.8p1, OpenSSL 3.2.0 23 Nov 2023
  • ssh -V查询的是客户端的版本,漏洞实际上是 Server 端的,所以需要验证 sshd 版本 【如果 sshd 文件没有覆盖成功 以下输出会依然是 OpenSSH_9.7p1, OpenSSL 3.2.0 23 Nov 2023
# 查看sshd版本【sshd并没有查询版本的参数 错误参数也可以输出sshd的版本信息】
sshd -v
# 输出信息
unknown option -- v
OpenSSH_9.8p1, OpenSSL 3.2.0 23 Nov 2023

3.“/usr/sbin/sshd”:文本文件忙

3.1 原因分析

在停止 sshd 服务后,进行 sshd 文件的覆盖操作:

cp /usr/local/ssh/sbin/sshd /usr/sbin/sshd

此时报错:

cp:是否覆盖"/usr/sbin/sshd"? y
cp:无法创建普通文件"/usr/sbin/sshd":文本文件忙

虽然用 systemctl stop sshd停止了 sshd 服务,但是 sshd 服务还有进程在运行中,导致其无法覆盖,此时如果我们是远程到服务器进行的升级操作,如果 kill 掉所有 sshd 服务,当前的所有连接都会断开,如果在机房用 KVM进行操作则没有关系。

3.2 远程解决方法

以下是远程停止所有 sshd 进程并覆盖 sshd 文件再重启 sshd 服务的方法,编写执行脚本 sshdCp.sh

#!/bin/bash
echo "(1/4): 停止sshd服务..."
sudo systemctl stop sshd
sleep 5
echo "(1/4): 停止sshd服务完毕"

echo "(2/4): 杀掉全部SSHD进程..."
sudo killall sshd
sleep 5
echo "(2/4): 杀掉全部SSHD进程完毕"

echo "(3/4): 复制sshd文件..."
cp /usr/local/ssh/sbin/sshd /usr/sbin/sshd
sleep 2
echo "(3/4): 复制sshd文件完毕"

echo "(4/4): 启动SSHD服务..."
sudo systemctl start sshd
echo "(4/4): 启动SSHD服务成功"

给脚本可执行权限:

chmod +x sshdCp.sh

添加定时任务:

crontab -e
# 添加以下内容【12号的18点05分执行】也就是让其执行一次
05 18 12 * * sh pathTo/sshdCp.sh >> pathTo/sshdCp.log

覆盖成功后删除定时任务即可。

Rocky Linux 9 系统OpenSSH CVE-2024-6387 漏洞修复
水布天
07-03 2259
Rocky Linux9 OpenSSH CVE-2024-6387漏洞修复 在线离线环境下的修复方法
CentOS7修复 OpenSSH爆高危漏洞(CVE-2024-6387) 实践
07-05 6112
OpenSSH远程代码执行漏洞 centOS7修复漏洞
rockylinux9.3 openssh升级9.7p1
lenovo_86的专栏
03-29 1425
3、rockylinux9.3 openssh/ssl升级当前官方最新openshssh9.7p1openssl升级3.2.1版本(附件提供源码及升级步骤)2、rockylinux9.3内核升级长期稳定版Linux 6.1.82-1.el9.elrepo.x86_64。备注:以上均测试升级无报错,centos7.9替换版本rockylinux9.3的朋友可以使用;1、rockylinux9.3 sudo升级官方最新1.9.15p5。
LInux SSH Server远程代码执行漏洞CVE-2024-6387处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-02 3305
的函数,最终造成Double-Free内存管理问题。根据已公开技术细节中的描述,在开启ASLR的i386设备上,利用该漏洞大约需要6-8小时获取root shell,在开启ASLR的amd64设备上则可能需要约一周左右。Red Hat Enterprise Linux 9,该缺陷不会影响Red Hat Enterprise Linux 8附带的OpenSSH版本,因其中所涉易受攻击的代码是在上游的较新OpenSSH版本中引入的,且未向后移植到Red Hat Enterprise Linux 8
Centos7.6升级OpenSSH9.8p1
JovaZou的成长之路
07-23 1383
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。目前有一台服务器使用了OpenSSH 7.4p1,但该版本的OpenSSH存在OpenSSH代码问题漏洞(CVE-2023-38408)OpenSSH 9.3p2之前版本存在安全漏洞,该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用该漏洞执行远程代码。
Openssh 最新漏洞修复指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-07 4745
近期安全扫描发现,OpenSSH(OpenBSD Secure Shell) 9.7p1及之前版本中存在多个漏洞,影响大部分开源版本,如下所示,更多参看版本说明和厂商安全公告受影响版本漏洞编号漏洞说明修复版本OpenSSH 9.7p1及之前版本其中,scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
linux centos7.9升级openssh9.8过程
ly4983的专栏
08-04 1402
漏洞扫描扫描出openssh相关的高危漏洞处理新发布的CVE-2024-6387关于openssh漏洞,需要升级openssh9.8版本。
OpenSSH漏洞 升级OpenSSH
weixin_42607022的博客
07-10 1432
检查系统、opensslopenssh的版本信息背景说明:OpenSSH远程代码执行漏洞CVE-2024-6387允许未授权攻击者以root身份执行任意代码,建议升级OpenSSH 9.8p1以上版本。OpenSSH爆高危漏洞(CVE-2024-6387)修复漏洞需要将OpenSSH 升级9.8,Ubuntu 的软件源已更新:Debian 11 12已更新:CentOS 没有相应的可直接更新的补丁,需要自己进行升级openssh9.8(注意版本到最新)
openssh修复CVE-2024-39894
07-04
同时,我们注意到近期OpenSSH有两个重要漏洞CVE-2024-6378CVE-2024-6387,它们都需要升级OpenSSH到最新版本(如9.8p1)来修复。因此,我们提供升级OpenSSH的一般方法。如果用户确实需要修复某个漏洞升级到最新...
Linux随记(二十一)
最新发布
Nightwish5的博客
07-26 332
参考:https://blog.csdn.net/zsb706496992/article/details/144722449。参考:https://zhuanlan.zhihu.com/p/711713588 《Tomcat 小版本升级
2.Linux 网络配置
xie52的博客
07-25 585
将ens33网卡ip地址修改为192.168.100.20,网关设置为192.168.100.254,dns设置为114.114.114.114 ipv4设置为手动配置,自动连接。如果目标是网络:route add -net 目标网络 netmask 网络掩码 gw 网关地址 dev 接口。如果目标是主机:route add -host 目标主机的IP地址 gw 网关地址 dev 接口。如果目标是一个网段,那么可以有网关,也可以没有网关。查看ip转发是否开启,如果开启则结果为1,反之为0。
Linux 下在线安装启动VNC
Tongyao
07-24 187
本文介绍了在CentOS 7系统下在线安装VNC的步骤。主要内容包括:1)使用yum安装tigervnc-server;2)通过vncpasswd命令设置VNC密码;3)启动和停止VNC服务的方法;4)安装GNOME桌面环境以避免黑屏问题。文章提供了完整的命令行操作指南,包括服务管理、端口配置和临时文件清理等实用技巧,适合需要远程桌面功能的Linux用户参考。
Linux deb程序包下载、解压、打包与安装
视觉算法小趴菜的博客
07-24 192
本文介绍了deb程序包的基本操作流程:1)使用apt-get download命令下载deb包;2)通过dpkg-deb -R命令解压deb包到指定目录;3)使用dpkg-deb --build命令将修改后的程序文件夹重新打包为deb文件,需确保包含DEBIAN/control等必要文件;4)最后通过dpkg -i命令安装deb程序包。文章以UOS系统下的dde-control-center为例,详细说明了各步骤的具体操作方法和注意事项,为Linux系统下的deb包管理提供了实用指南。
Linux Wlan 无线网络驱动开发-scan协议全流程详解
weixin_42271802的博客
07-24 1049
Linux 和 FreeBSD 操作系统中,Wi-Fi 扫描功能 的实现归属于不同的子系统,但都遵循 IEEE 802.11 协议。设备发送 Probe Request 帧(探测请求),附近的 AP(接入点)收到后回复 Probe Response(探测响应)希望这个实例demo能够抛砖引玉,让读者能够自行探索有趣的无线网络驱动,并加入其中的开发应用。设备仅监听 AP 定期广播的 Beacon 帧(信标帧),不主动发送请求。那我们现在只考虑主动扫描(Active Scanning)的情况。
Linux选择题
m0_74726609的博客
07-26 651
卷组中所有的逻辑卷(Logical Volume, LV)必须先被卸载(unmount),然后设置为非活动状态(lvchange -an /dev/vgname/lvname)或者直接删除(lvremove)。物理存储被组织成物理卷(PV),物理卷组合成卷组(VG),然后在卷组之上可以创建逻辑卷(LV)。第一块磁盘是 /dev/sda,第二块磁盘是 /dev/sdb,第三块磁盘应该是 /dev/sdc。解析:Linux中,vfat 是FAT32文件系统的标准表示,支持长文件名(VFAT扩展)。
Linux 内核 IPv4 协议栈输入处理深度解析
数字人生
07-25 812
本文深入剖析了Linux内核中IPv4协议栈的输入处理机制,聚焦于net/ipv4/ip_input.c文件的核心功能。该文件作为网络数据包进入系统的第一站,主要负责数据包的验证、路由决策和协议分发三大核心任务。通过分层处理架构,系统依次完成基础校验(包括版本检查、长度验证和校验和计算)、路由决策(本地处理或转发)以及最终的上层协议分发。关键处理流程涉及IP分片重组、Netfilter钩子调用、早期解复用优化等机制,同时通过批处理技术提升性能。文章详细解析了ip_rcv()、ip_rcv_finish()
征服 Linux 网络:核心服务与实战解析
kevin_blog
07-24 1252
摘要 本文深入解析Linux网络管理的核心技能,涵盖六大主题:网络基础配置、DNS/DHCP服务、远程访问、文件共享等。通过实战代码示例,详细讲解如何配置静态IP地址、搭建DHCP服务器、优化SSH安全连接,以及部署NFS/Samba文件共享服务。文章特别强调理解底层协议和精细化控制的重要性,为系统管理员和运维工程师提供完整的Linux网络管理方法论,帮助读者掌握服务器网络配置与故障排查的核心能力。
深入理解 eMMC RPMB 与 OP-TEE 在 Linux 系统中的应用开发
qq_30883899的博客
07-24 559
本文系统介绍了可信执行环境(TEE)中eMMC的RPMB安全存储机制及其在ARM平台的应用。RPMB作为eMMC/UFS的硬件安全分区,通过计数器保护和HMAC验证确保数据安全,适合存储密钥等敏感信息。文章详细解析了开源TEE实现OP-TEE的架构模块,包括其与RPMB的集成方式、开发结构(CA/TA)及通信机制,并提供了Hello Secure World示例。同时阐述了RPMB文件系统的加密机制和密钥分层结构,以及OP-TEE在Linux平台的适配方案。最后指出需注意内核配置和tee-supplican
Linux shuf命令随机打乱行顺序
菜鸟记录
07-26 151
Linux shuf命令随机打乱行顺序
OpenSSH9.6版本到openssh-9.8p1
06-21
### OpenSSH 9.6 升级OpenSSH 9.8p1 的更新日志与变更 OpenSSH 是一个广泛使用的安全协议实现,用于提供加密通信。从 OpenSSH 9.6 升级OpenSSH 9.8p1 的过程中,官方发布了一系列重要的功能改进和安全性修复[^1]。以下是这些版本之间的主要更新内容: #### 功能增强 - **新增的配置选项**:在 OpenSSH 9.79.8 中引入了新的配置选项 `StreamLocalBindUnlink`,该选项允许用户在绑定 Unix 域套接字时自动删除已存在的文件[^2]。 - **支持 modern crypto algorithms**:进一步增强了对现代化加密算法的支持,包括对 ChaCha20-Poly1305 算法的优化,以提高性能和安全性[^3]。 #### 安全性改进 - **修复潜在的安全漏洞**:在 OpenSSH 9.79.8修复了多个可能被利用的安全漏洞,例如 CVE-2022-2747CVE-2023-29085,这些问题可能导致信息泄露或拒绝服务攻击[^4]。 - **强化默认配置**:默认禁用了不安全的加密算法(如 RSA1),并提高了密钥交换的安全性要求,确保更高的抗攻击能力[^5]。 #### 性能优化 - **改进连接速度**:通过优化初始握手过程中的资源使用,显著提升了客户端与服务器之间的连接速度[^6]。 - **减少内存占用**:对内部数据结构进行了重构,减少了长期运行时的内存泄漏风险[^7]。 #### 兼容性调整 - **移除过时的功能**:为了保持代码库的清洁性和安全性,OpenSSH 移除了对某些旧协议的支持(如 Kerberos TGT 缓存转发)[^8]。 - **改进错误处理机制**:增强了错误消息的清晰度,使得管理员更容易诊断和解决连接问题[^9]。 以下是一个简单的升级脚本示例,用于从 OpenSSH 9.6 升级OpenSSH 9.8p1: ```bash # 下载并解压源代码 wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz tar -xvzf openssh-9.8p1.tar.gz cd openssh-9.8p1 # 配置编译环境 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords # 编译并安装 make sudo make install # 更新配置文件 sudo cp contrib/redhat/sshd.init /etc/init.d/sshd sudo systemctl daemon-reload sudo systemctl restart sshd ```
评论 61
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuanzhengme.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值