OpenSSH远程代码执行漏洞（CVE-2016-10009）

漏洞预警-01

漏洞编号：CVE-2016-10009

漏洞描述：
sshd服务可以利用转发的agent-socket文件欺骗本机的ssh-agent加载一个恶意的PKCS#11模块，从而可以远程执行代码。

远程漏洞：是
本地漏洞：否
官方评级：中危

漏洞危害：
黑客通过利用漏洞可以实现远程命令执行，严重情况下可能会导致业务中断或数据泄露。

漏洞利用条件：
可以实现远程利用。  
该漏洞利用依赖 ssh-agent ，这个进程默认不启动、只在多主机间免密码登录时才会用到，漏洞利用条件也比较苛刻，

漏洞影响范围：
OpenSSH OpenSSH 7.3

OpenSSH OpenSSH 7.2P2

OpenSSH OpenSSH 7.2

OpenSSH OpenSSH 7.1P2

OpenSSH OpenSSH 7.1P1

OpenSSH OpenSSH 7.1

OpenSSH OpenSSH 7.0

OpenSSH OpenSSH 6.9P1

OpenSSH OpenSSH 6.9\

OpenSSH OpenSSH 6.6

OpenSSH OpenSSH 6.5

OpenSSH OpenSSH 6.4

OpenSSH OpenSSH 6.3

OpenSSH OpenSSH 6.2

OpenSSH OpenSSH 6.1

OpenSSH OpenSSH 6.0

OpenSSH OpenSSH 5.8

OpenSSH OpenSSH 5.7

OpenSSH OpenSSH 5.6

OpenSSH OpenSSH 5.5.

OpenSSH OpenSSH 5.4

OpenSSH OpenSSH 5.3

OpenSSH OpenSSH 5.2

OpenSSH OpenSSH 5.1

OpenSSH OpenSSH 5.0

漏洞修复建议(或缓解措施)：
如果您变更过openssh版本，并确认当前openssh版本在受影响范围内，云夕阁建议您：

在升级前，强烈要求您做好快照和文件备份，防止出现升级失败无法远程管理等意外事件发生。

1.优先升级到最新版本OpenSSH version 7.4；
安装新的openSSH，需要先安装新版本的openSSL：

1. #cd openssl-1.1.0c/
   
2. #./config shared
   
3. #make depend
   
4. #make && make test && make install

复制代码

安装新的openssh：

1. # cd /usr/src/usr.bin
   
2. # tar zxvf .../openssh-7.4.tar.gz
   
3. # cd ssh
   
4. # make obj
   
5. # make cleandir
   
6. # make depend
   
7. # make
   
8. # make install
   
9. # cp ssh_config sshd_config /etc/ssh

复制代码

2.建议您不要直接将ssh服务等高风险端口服务直接开放到互联网，推荐可以使用VPN和堡垒机更安全的方式进行远程运维，防止发生暴力破解和漏洞利用入侵事件发生。

参考链接：

• www.securityfocus.com/bid/94968/info
• lwn.net/Articles/709677/