OpenSSH高危漏洞CVE-2025-26466和CVE-2025-26465:OpenSSH升级9.9p2 RPM一键更新包

OpenSSH近期出现拒绝服务漏洞CVE-2025-26466和CVE-2025-26465,影响范围: OpenSSH 6.8p1 至 9.9p1、 OpenSSH 9.5p1 至 9.9p1, OpenSSH升级9.9p2 RPM一键更新包。

OpenSSH高危漏洞说明

OpenSSH(Open Secure Shell) 是 SSH 协议的开源实现,用于在不安全网络中建立加密通信,支持远程登录、文件传输等功能。作为 Linux/BSD 系统的核心组件,其安全性直接影响全球数百万服务器的管理。 OpenSSH 以代码质量和安全性著称,但近期曝光的两个高危漏洞 (CVE-2025-26465 和 CVE-2025-26466) 再次敲响警钟

漏洞详情与危害:

1.CVE-2025-26465(中间人攻击漏洞)

影响范围: OpenSSH 6.8p1 至 9.9p1

漏洞成因: VerifyHostKeyDNS 功能存在逻辑错误,当客户端通过 DNS 验证服务器密钥时,特定错误 (如内存分配失败) 会被误判为验证成功,导致攻击者可伪造服务器密钥并拦截敏感数据 13 。

利用场景: 攻击者可能窃取数据库凭证、横向渗透关键服务器,甚至触发 GDPR 等合规风险。

2.CVE-2025-26466(拒绝服务漏洞)

影响范围: OpenSSH 9.5p1 至 9.9p1

漏洞成因: 密钥交换过程中内存分配未限制,攻击者可发送超大 PONG 数据包 (约 234MB),导致客户端或服务器 CPU 和内存资源耗尽,引发服务瘫痪。

解决办法:

升级到最新OpenSSH 9.9p2版本。提供了rpm文件一建升级文件,适用系统: Debian/Ubuntu/CentOS 等 Linux 发行版。

首次使用这里的SSH RPM 包,需要在这里下载配套的OpenSSL一同安装

在这里下载的OpenSSL-3.3.1,理论上可以支持后续升级好多个在这里下载的OpenSSH版本

支持 x64 架构下的 CentOS 7/8、AlmaLinux 8、RockyLinux 8、AnolisOS 8、Kylin-V10

openssl3.3.1+openssh9.92 rpm升级包下载:

https://www.uihtm.com/other/19778.html

服务器版本对应openssh

openssh-9.9p2-rpms-an8-x64.tar.gz

openssh-9.9p2-rpms-el7-x64.tar.gz

openssh-9.9p2-rpms-el8-x64.tar.gz

openssh-9.9p2-rpms-ky10-x64.tar.gz

服务器版本对应openssl:

openssl-3.3.1-rpms-an8.tar.gz

openssl-3.3.1-rpms-el7.tar.gz

openssl-3.3.1-rpms-el8.tar.gz

openssl-3.3.1-rpms-ky10.tar.gz

openssh 9.9p2升级教程:

由于openssh9.8p1要求openssl版本大于等于1.1.1,因此需要升级安装openssl, 选择好对应系统版本的升级文件,以centos7为例:

需要openssl-3.3.1-rpms-el7.tar.gzo和openssh-9.9p2-rpms-el7-x64.tar.gzop包。下载上传到服务器:/usr/local/src目录,

解压文件:

bash 复制代码
tar -xvzf openssl-3.3.1-rpms-el7.tar.gz
tar -xvzf openssh-9.9p2-rpms-el7-x64.tar.gz

升级安装openssl3.3

bash 复制代码
rpm -ivh --nodeps --force openssl-3.3.1*/openssl-{3,d}*.rpm

卸载旧版本openssh,安装新版,

bash 复制代码
#卸载旧版本
yum remove openssh* -y

#安装新版本
yum install -y openssh-9.9p2*/openssh*

不要关闭当前ssh,新建一个会话

bash 复制代码
#关闭selinux
sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config && setenforce 0
#启用PAM
sed -i 's/#UsePAM.*/UsePAM yes/' /etc/ssh/sshd_config
#开启root登录
sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config
#600权限,不执行有小概率sshd起不来
chmod 600 /etc/ssh/ssh_host_*_key
#修改/etc/pam.d/sshd配置
cat > /etc/pam.d/sshd << EOF
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    required     pam_limits.so
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
EOF
#重启sshd服务
systemctl restart sshd

安装完成后,您可以使用以下命令启动 OpenSSH 服务:

bash 复制代码
systemctl start sshd
systemctl enable sshd

# 看看服务运行状态
sudo systemctl status sshd 
# 看看版本
sudo sshd -V


相关推荐
爱奥尼欧44 分钟前
【Linux 系统】基础IO——Linux中对文件的理解
linux·服务器·microsoft
超喜欢下雨天1 小时前
服务器安装 ros2时遇到底层库依赖冲突的问题
linux·运维·服务器·ros2
tan77º2 小时前
【Linux网络编程】网络基础
linux·服务器·网络
缘友一世2 小时前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
笑衬人心。3 小时前
Ubuntu 22.04 + MySQL 8 无密码登录问题与 root 密码重置指南
linux·mysql·ubuntu
HMS Core3 小时前
HarmonyOS免密认证方案 助力应用登录安全升级
安全·华为·harmonyos
Gauss松鼠会4 小时前
GaussDB权限管理:从RBAC到精细化控制的企业级安全实践
大数据·数据库·安全·database·gaussdb
chanalbert4 小时前
CentOS系统新手指导手册
linux·运维·centos
星宸追风5 小时前
Ubuntu更换Home目录所在硬盘的过程
linux·运维·ubuntu
热爱生活的猴子5 小时前
Poetry 在 Linux 和 Windows 系统中的安装步骤
linux·运维·windows