我今天读到 OpenSSH 中存在一个重大漏洞,该漏洞已由最新版本 7.1p2 修复。根据这个故事,你的私钥很容易被泄露。
我正在使用最新的 Amazon Linux AMI,并且所有内容都针对 Amazon 的存储库是最新的。
[root@aws /]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1k-fips 8 Jan 2015
这是 Amazon yum 存储库中可用的软件包的列表
yum list | grep openssh
openssh.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-clients.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-server.x86_64 6.6.1p1-22.58.amzn1 @amzn-updates
openssh-keycat.x86_64 6.6.1p1-22.58.amzn1 amzn-updates
openssh-ldap.x86_64 6.6.1p1-22.58.amzn1 amzn-updates
看起来亚马逊存储库在 OpenSSH 更新方面落后了大约两年。我读到一些供应商支持旧版本 OpenSSH 的端口更新,所以这可能不是问题,或者亚马逊可能会很快解决它。
问题:
- 这真的是个问题吗?
- 如果有问题,最好的更新方法是什么?我通常会找到另一个 yum 存储库,增加它的优先级,然后从中更新。
是的,如果您曾经通过 ssh 连接到攻击者可能控制的机器,这确实是一个问题。
UseRoaming no在 Amazon 更新其软件包之前,您可以通过在您将使用 ssh 客户端的任何机器上的 /etc/ssh/ssh_config 中添加该行来阻止错误影响您。