openssh openssl等软件升级问题处理建议
关键词
openssh openssl 安全 漏洞 升级
问题背景
部分客户对安全会比较关注,通过外部漏洞信息文章,或者是宝塔,主机安全等安全软件的漏洞扫描功能,会得到升级OpenSSH/OpenSSL等关键系统组件到某个特定高版本的建议,于是会尝试自行从对应软件官方站点下载源码包并尝试编译安装来升级。 然而,由于该类软件对于系统正常运行和登录非常关键,非专业人员自行编译安装面临操作复杂,容易造成系统无法正常登录启动等风险。
解决建议
1. 操作步骤
确认客户升级这两个软件的背景,若是因为漏洞修复,建议客户使用发行版自带的包管理工具升级。 各发行版厂商跟进上游修复漏洞的周期会有差异,若对应发行版未提供更新软件包,建议客户等待对应厂商提供升级包后再尝试。若对应发行版已停止维护,建议更换其他操作系统版本。
CentOS/RHEL系列:
yum update openssh openssl
debian/ubuntu系列:
sudo apt update
sudo apt-get install openssh-server openssl
2. 同步不建议编译安装升级原因
1) 源码编译安装升级风险
- 新装的OpenSSH因端口冲突无法正常启动, 要实现原地替换较为复杂且容易出错。
- 替换了系统自带的OpenSSL动态库,产生兼容性问题,造成 安装后系统无法正常启动和登录
- 原有程序无法自动链接到新版本,造成 修复无效 。
因此,从系统可靠性,操作危险性,可维护性等方面考虑,不建议非专业人员自行编译安装升级OpenSSH/OpenSSL等组件。
2) 没有必要升级到上游最新版本
各主流Linux发行版如RHEL/CentOS等,会以某个OpenSSH/OpenSSL的子版本为基础作为长期稳定版单独维护,当上游社区出现重大安全漏洞补丁时,他们会反向移植回来完成修复。所以,出于修复漏洞的目的,并没有必要升级对应软件到上游的最新版本,只需要使用发行版自带的包管理工具如apt/yum升级到最新版本即可。 例如:CVE-2022-2068对应的漏洞在上游OpenSSL 1.0.2zf/1.1.1p/3.0.4 版本后修复,但CentOS 7中自带的openssl-1.0.2k不受影响,CentOS 8 Stream中自带的openssl-1.1.1k-7完成了修复,并不需要升级到1.1.1p或者是3.0.4
附录
如何确认某个CVE漏洞影响的版本和修复版本? 在对应发行版的CVE页面搜索对应编号, 查看受影响版本和修复版本
RHEL系列 https://access.redhat.com/security/security-updates/cve ubuntu系列 https://ubuntu.com/security/cves
相关文章
- Adobe Prelude 2020 2023 软件下载及安装教程(Mac版)
- 解决更新macOS 13 Ventura后打开某软件显示“已损坏,无法打开”问题
- solidwork高版本改低版本软件安装VBA7.1失败问题处理
- 软件分享 | 第三十八期 自建网站 一站式软件分享(PC)
- PS软件装不上,告诉你一个问题PS全版本软件下载地址(包括最新的2023)
- Adobe2023全家桶软件对电脑系统有哪些要求?
- Git Bash Here和RStudio软件的问题解决
- Redis 可视化软件乱码问题(Java序列化重置)
- 优秀CAD软件CAXA电子图板最新中文版,CAXA电子图板安装教程下载
- 企业的数字进化:从“企业软件”到“软件企业“
- 思迅软件如何手工处理断网数据问题
- 多功能流程图 Visio 2016软件下载安装步骤+全版本安装包
- 【数学数据处理软件】MATLAB最新版2023a下载安装
- 【linux下软件在线搜索】(linux下有哪些软件)
- 解决Linux安装软件依赖问题(linux安装软件依赖)
- [下载] 英特尔发布22.30.0版无线软件和驱动程序解决蓝屏死机问题
- Linux多路径软件:开启新的智能科技之旅(linux多路径软件)
- Oracle操作软件:解决复杂的数据库管理问题(oracle操作软件)
- Linux 环境下反汇编软件的应用(linux反汇编软件)
- 解决postgresql软件卸载问题(postgresql卸载)
- 让项目加速用MSSQL数据库软件加快项目进度(带mssql数据库软件)