OpenSSH高危漏洞CVE-2025-26466和CVE-2025-26465:OpenSSH升级9.9p2 RPM一键更新包

天天打码2025-04-15 10:28

OpenSSH近期出现拒绝服务漏洞CVE-2025-26466和CVE-2025-26465,影响范围: OpenSSH 6.8p1 至 9.9p1、 OpenSSH 9.5p1 至 9.9p1, OpenSSH升级9.9p2 RPM一键更新包。

OpenSSH高危漏洞说明

OpenSSH(Open Secure Shell) 是 SSH 协议的开源实现,用于在不安全网络中建立加密通信,支持远程登录、文件传输等功能。作为 Linux/BSD 系统的核心组件,其安全性直接影响全球数百万服务器的管理。 OpenSSH 以代码质量和安全性著称,但近期曝光的两个高危漏洞 (CVE-2025-26465 和 CVE-2025-26466) 再次敲响警钟

漏洞详情与危害:

1.CVE-2025-26465(中间人攻击漏洞)

影响范围: OpenSSH 6.8p1 至 9.9p1

漏洞成因: VerifyHostKeyDNS 功能存在逻辑错误,当客户端通过 DNS 验证服务器密钥时,特定错误 (如内存分配失败) 会被误判为验证成功,导致攻击者可伪造服务器密钥并拦截敏感数据 13 。

利用场景: 攻击者可能窃取数据库凭证、横向渗透关键服务器,甚至触发 GDPR 等合规风险。

2.CVE-2025-26466(拒绝服务漏洞)

影响范围: OpenSSH 9.5p1 至 9.9p1

漏洞成因: 密钥交换过程中内存分配未限制,攻击者可发送超大 PONG 数据包 (约 234MB),导致客户端或服务器 CPU 和内存资源耗尽,引发服务瘫痪。

解决办法:

升级到最新OpenSSH 9.9p2版本。提供了rpm文件一建升级文件,适用系统: Debian/Ubuntu/CentOS 等 Linux 发行版。

首次使用这里的SSH RPM 包,需要在这里下载配套的OpenSSL一同安装

在这里下载的OpenSSL-3.3.1,理论上可以支持后续升级好多个在这里下载的OpenSSH版本

支持 x64 架构下的 CentOS 7/8、AlmaLinux 8、RockyLinux 8、AnolisOS 8、Kylin-V10

openssl3.3.1+openssh9.92 rpm升级包下载:

https://www.uihtm.com/other/19778.html

服务器版本对应openssh

openssh-9.9p2-rpms-an8-x64.tar.gz

openssh-9.9p2-rpms-el7-x64.tar.gz

openssh-9.9p2-rpms-el8-x64.tar.gz

openssh-9.9p2-rpms-ky10-x64.tar.gz

服务器版本对应openssl:

openssl-3.3.1-rpms-an8.tar.gz

openssl-3.3.1-rpms-el7.tar.gz

openssl-3.3.1-rpms-el8.tar.gz

openssl-3.3.1-rpms-ky10.tar.gz

openssh 9.9p2升级教程:

由于openssh9.8p1要求openssl版本大于等于1.1.1,因此需要升级安装openssl, 选择好对应系统版本的升级文件,以centos7为例:

需要openssl-3.3.1-rpms-el7.tar.gzo和openssh-9.9p2-rpms-el7-x64.tar.gzop包。下载上传到服务器:/usr/local/src目录,

解压文件:

bash 复制代码 
tar -xvzf openssl-3.3.1-rpms-el7.tar.gz
tar -xvzf openssh-9.9p2-rpms-el7-x64.tar.gz

升级安装openssl3.3

bash 复制代码 
rpm -ivh --nodeps --force openssl-3.3.1*/openssl-{3,d}*.rpm

卸载旧版本openssh,安装新版,

bash 复制代码 
#卸载旧版本
yum remove openssh* -y

#安装新版本
yum install -y openssh-9.9p2*/openssh*

不要关闭当前ssh,新建一个会话

bash 复制代码 
#关闭selinux
sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config && setenforce 0
#启用PAM
sed -i 's/#UsePAM.*/UsePAM yes/' /etc/ssh/sshd_config
#开启root登录
sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config
#600权限,不执行有小概率sshd起不来
chmod 600 /etc/ssh/ssh_host_*_key
#修改/etc/pam.d/sshd配置
cat > /etc/pam.d/sshd << EOF
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    required     pam_limits.so
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
EOF
#重启sshd服务
systemctl restart sshd

安装完成后,您可以使用以下命令启动 OpenSSH 服务:

bash 复制代码 
systemctl start sshd
systemctl enable sshd

# 看看服务运行状态
sudo systemctl status sshd 
# 看看版本
sudo sshd -V


相关推荐
阿里云云原生44 分钟前
阿里云 MSE Nacos 发布全新“安全防护”模块,简化安全配置,提升数据保护
网络·安全·阿里云
还是鼠鼠1 小时前
Node.js Session 原理简单介绍 + 示例代码
linux·javascript·vscode·node.js·编辑器·vim·express
offerwa1 小时前
Linux命令行精通:提高工作效率的终端技能
linux
mosaicwang2 小时前
OpenSSH版本的重大升级 :OpenSSH 10
linux
奔驰的小野码2 小时前
本地实现Rtsp视频流推送
java·linux·后端·ffmpeg
正点原子3 小时前
【正点原子STM32MP257连载】第四章 ATK-DLMP257B功能测试——USB测试 #USB HOST #USB 鼠标
linux·功能测试·stm32·嵌入式硬件·计算机外设·usb
淋过很多场雨3 小时前
现代c++获取linux系统版本号
linux·开发语言·c++
newxtc3 小时前
【北交互联-注册/登录安全分析报告】
人工智能·安全·网易易盾·政务·极验
神经毒素3 小时前
WEB安全--蓝队日志--RCE数据包分析
安全·web安全
开发者工具分享3 小时前
项目后期发现重大漏洞,如何紧急修复
网络·安全·web安全
热门推荐
01我决定放弃搞 Java 了02RAG 实践- Ollama+RagFlow 部署本地知识库03DeepSeek各版本说明与优缺点分析04Scipy||第三章 线性代数 (scipy.linalg)05DeepSeek RAGFlow构建本地知识库系统06如何在WPS和Word/Excel中直接使用DeepSeek功能07汽车上的各种质量:整备质量、总质量、装载质量、簧上质量、簧下质量08从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑09本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程10C#/.NET/.NET Core技术前沿周刊 | 第 34 期(2025年4.7-4.13)