openssh openssl等软件升级问题处理建议

关键词

openssh openssl 安全 漏洞 升级

问题背景

部分客户对安全会比较关注，通过外部漏洞信息文章，或者是宝塔，主机安全等安全软件的漏洞扫描功能，会得到升级OpenSSH/OpenSSL等关键系统组件到某个特定高版本的建议，于是会尝试自行从对应软件官方站点下载源码包并尝试编译安装来升级。 然而，由于该类软件对于系统正常运行和登录非常关键，非专业人员自行编译安装面临操作复杂，容易造成系统无法正常登录启动等风险。

解决建议

1. 操作步骤

确认客户升级这两个软件的背景，若是因为漏洞修复，建议客户使用发行版自带的包管理工具升级。 各发行版厂商跟进上游修复漏洞的周期会有差异，若对应发行版未提供更新软件包，建议客户等待对应厂商提供升级包后再尝试。若对应发行版已停止维护，建议更换其他操作系统版本。

CentOS/RHEL系列：

yum update openssh openssl

debian/ubuntu系列：

sudo apt update
sudo apt-get install openssh-server openssl

2. 同步不建议编译安装升级原因

1) 源码编译安装升级风险

• 新装的OpenSSH因端口冲突无法正常启动, 要实现原地替换较为复杂且容易出错。
• 替换了系统自带的OpenSSL动态库，产生兼容性问题，造成 安装后系统无法正常启动和登录
• 原有程序无法自动链接到新版本，造成 修复无效 。

因此，从系统可靠性，操作危险性，可维护性等方面考虑，不建议非专业人员自行编译安装升级OpenSSH/OpenSSL等组件。

2) 没有必要升级到上游最新版本

各主流Linux发行版如RHEL/CentOS等，会以某个OpenSSH/OpenSSL的子版本为基础作为长期稳定版单独维护，当上游社区出现重大安全漏洞补丁时，他们会反向移植回来完成修复。所以，出于修复漏洞的目的，并没有必要升级对应软件到上游的最新版本，只需要使用发行版自带的包管理工具如apt/yum升级到最新版本即可。 例如：CVE-2022-2068对应的漏洞在上游OpenSSL 1.0.2zf/1.1.1p/3.0.4 版本后修复，但CentOS 7中自带的openssl-1.0.2k不受影响，CentOS 8 Stream中自带的openssl-1.1.1k-7完成了修复，并不需要升级到1.1.1p或者是3.0.4

附录

如何确认某个CVE漏洞影响的版本和修复版本？ 在对应发行版的CVE页面搜索对应编号, 查看受影响版本和修复版本

RHEL系列 https://access.redhat.com/security/security-updates/cve ubuntu系列 https://ubuntu.com/security/cves