OpenSSH高危漏洞CVE-2025-26466和CVE-2025-26465:OpenSSH升级9.9p2 RPM一键更新包

OpenSSH近期出现拒绝服务漏洞CVE-2025-26466和CVE-2025-26465,影响范围: OpenSSH 6.8p1 至 9.9p1、 OpenSSH 9.5p1 至 9.9p1, OpenSSH升级9.9p2 RPM一键更新包。

OpenSSH高危漏洞说明

OpenSSH(Open Secure Shell) 是 SSH 协议的开源实现,用于在不安全网络中建立加密通信,支持远程登录、文件传输等功能。作为 Linux/BSD 系统的核心组件,其安全性直接影响全球数百万服务器的管理。 OpenSSH 以代码质量和安全性著称,但近期曝光的两个高危漏洞 (CVE-2025-26465 和 CVE-2025-26466) 再次敲响警钟

漏洞详情与危害:

1.CVE-2025-26465(中间人攻击漏洞)

影响范围: OpenSSH 6.8p1 至 9.9p1

漏洞成因: VerifyHostKeyDNS 功能存在逻辑错误,当客户端通过 DNS 验证服务器密钥时,特定错误 (如内存分配失败) 会被误判为验证成功,导致攻击者可伪造服务器密钥并拦截敏感数据 13 。

利用场景: 攻击者可能窃取数据库凭证、横向渗透关键服务器,甚至触发 GDPR 等合规风险。

2.CVE-2025-26466(拒绝服务漏洞)

影响范围: OpenSSH 9.5p1 至 9.9p1

漏洞成因: 密钥交换过程中内存分配未限制,攻击者可发送超大 PONG 数据包 (约 234MB),导致客户端或服务器 CPU 和内存资源耗尽,引发服务瘫痪。

解决办法:

升级到最新OpenSSH 9.9p2版本。提供了rpm文件一建升级文件,适用系统: Debian/Ubuntu/CentOS 等 Linux 发行版。

首次使用这里的SSH RPM 包,需要在这里下载配套的OpenSSL一同安装

在这里下载的OpenSSL-3.3.1,理论上可以支持后续升级好多个在这里下载的OpenSSH版本

支持 x64 架构下的 CentOS 7/8、AlmaLinux 8、RockyLinux 8、AnolisOS 8、Kylin-V10

openssl3.3.1+openssh9.92 rpm升级包下载:

https://www.uihtm.com/other/19778.html

服务器版本对应openssh

openssh-9.9p2-rpms-an8-x64.tar.gz

openssh-9.9p2-rpms-el7-x64.tar.gz

openssh-9.9p2-rpms-el8-x64.tar.gz

openssh-9.9p2-rpms-ky10-x64.tar.gz

服务器版本对应openssl:

openssl-3.3.1-rpms-an8.tar.gz

openssl-3.3.1-rpms-el7.tar.gz

openssl-3.3.1-rpms-el8.tar.gz

openssl-3.3.1-rpms-ky10.tar.gz

openssh 9.9p2升级教程:

由于openssh9.8p1要求openssl版本大于等于1.1.1,因此需要升级安装openssl, 选择好对应系统版本的升级文件,以centos7为例:

需要openssl-3.3.1-rpms-el7.tar.gzo和openssh-9.9p2-rpms-el7-x64.tar.gzop包。下载上传到服务器:/usr/local/src目录,

解压文件:

bash 复制代码
tar -xvzf openssl-3.3.1-rpms-el7.tar.gz
tar -xvzf openssh-9.9p2-rpms-el7-x64.tar.gz

升级安装openssl3.3

bash 复制代码
rpm -ivh --nodeps --force openssl-3.3.1*/openssl-{3,d}*.rpm

卸载旧版本openssh,安装新版,

bash 复制代码
#卸载旧版本
yum remove openssh* -y

#安装新版本
yum install -y openssh-9.9p2*/openssh*

不要关闭当前ssh,新建一个会话

bash 复制代码
#关闭selinux
sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config && setenforce 0
#启用PAM
sed -i 's/#UsePAM.*/UsePAM yes/' /etc/ssh/sshd_config
#开启root登录
sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config
#600权限,不执行有小概率sshd起不来
chmod 600 /etc/ssh/ssh_host_*_key
#修改/etc/pam.d/sshd配置
cat > /etc/pam.d/sshd << EOF
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    required     pam_limits.so
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
EOF
#重启sshd服务
systemctl restart sshd

安装完成后,您可以使用以下命令启动 OpenSSH 服务:

bash 复制代码
systemctl start sshd
systemctl enable sshd

# 看看服务运行状态
sudo systemctl status sshd 
# 看看版本
sudo sshd -V


相关推荐
mCell1 小时前
从删库到跑路?这50个Linux命令能保你职业生涯
linux·windows·macos
杰克逊的日记1 小时前
GPU运维常见问题处理
linux·运维·gpu
誰能久伴不乏2 小时前
Linux系统调用概述与实现:深入浅出的解析
linux·运维·服务器
程序员学习随笔2 小时前
Linux进程深度解析(2):fork/exec写时拷贝性能优化与exit资源回收机制(进程创建和销毁)
linux·运维·服务器
mmoyula2 小时前
【RK3568 PWM 子系统(SG90)驱动开发详解】
android·linux·驱动开发
-SGlow-3 小时前
MySQL相关概念和易错知识点(2)(表结构的操作、数据类型、约束)
linux·运维·服务器·数据库·mysql
代码改变世界ctw3 小时前
Linux内核设计与实现 - 第14章 块I/O层
linux·运维·服务器
终焉暴龙王4 小时前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php
水瓶_bxt5 小时前
Centos安装HAProxy搭建Mysql高可用集群负载均衡
mysql·centos·负载均衡
van叶~6 小时前
Linux网络-------1.socket编程基础---(TCP-socket)
linux·网络·tcp/ip