如何解决CVE-2025-26466和CVE-2025-26465

下午好🌅🌅🌅
本答案参考通义千问

您提到的 CVE-2025-26466 和 CVE-2025-26465 是近期发现的安全漏洞，涉及 OpenSSH 的实现问题。这两个漏洞可能影响 SSH 服务的安全性，因此建议尽快修复。

---

一、关于 CVE-2025-26466 和 CVE-2025-26465

1. 漏洞详情（简要）

• CVE-2025-26466：与 SSH 密钥验证机制有关，可能导致身份验证绕过。
• CVE-2025-26465：与 SSH 会话管理相关，可能引发拒绝服务（DoS）或权限提升。

重点： 这两个漏洞都属于高危漏洞，建议立即修复，以防止潜在攻击。

---

二、除了升级到 OpenSSH 9.9p2 外，是否有其他解决方式？

✅ 答案：没有替代方案

目前，OpenSSH 官方仅通过升级版本来修复这些漏洞，没有其他补丁或临时解决方案可以缓解这两个漏洞。这意味着：

• 必须升级到 OpenSSH 9.9p2 或更高版本；
• 如果无法直接升级，可以考虑使用第三方安全补丁（如 Red Hat 提供的补丁），但需注意兼容性和稳定性。

重点： 不建议依赖非官方补丁，应优先使用官方发布的版本进行修复。

---

三、OpenSSH 9.8p1 和 9.9p2 的区别是什么？为什么更新方式不同？

| 特性 | OpenSSH 9.8p1 | OpenSSH 9.9p2 | |------|----------------|----------------| | 发布时间 | 2024年10月 | 2025年3月 | | 新增功能 | 增强密钥支持、改进日志记录 | 修复多个安全漏洞（包括 CVE-2025-26466 和 CVE-2025-26465） | | 更新方式 | 通常为常规更新 | 需要特别关注安全更新 |

重点： 9.9p2 是针对安全漏洞的紧急修复版本，因此更新方式更严格，建议在生产环境中谨慎操作。

---

四、升级 OpenSSH 9.9p2 是否需要 reboot？

✅ 答案：是的，通常需要重启服务器。

原因如下：

• OpenSSH 是系统级服务，一旦升级后，旧的进程仍然运行，只有重启后才能加载新的版本；
• 在某些情况下，如果使用了 sshd 的动态模块（如 moduli 文件等），也可能需要重启。

重点： 升级 OpenSSH 后，务必执行 systemctl restart sshd 或 reboot，以确保新版本生效。

---

五、CentOS 8 升级 OpenSSH 9.9p2 的详细步骤

以下是在 CentOS 8 系统上升级 OpenSSH 到 9.9p2 的完整操作流程：

📌 步骤 1：检查当前 OpenSSH 版本

ssh -V

输出示例：

OpenSSH_8.0p1, OpenSSL 1.1.1k  25 Mar 2021

📌 步骤 2：添加 EPEL 和 RPM Fusion 仓库（可选）

dnf install epel-release -y
dnf install https://download1.rpmfusion.org/free/el/rpmfusion-free-release-8.noarch.rpm -y

📌 步骤 3：安装 OpenSSH 9.9p2（从源码编译）

注意： CentOS 8 默认仓库中可能不包含 OpenSSH 9.9p2，因此推荐从源码编译。

3.1 下载 OpenSSH 9.9p2 源码包

cd /usr/src
wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.9p2.tar.gz
tar -xzf openssh-9.9p2.tar.gz
cd openssh-9.9p2

3.2 编译并安装

./configure --prefix=/usr/local/openssh
make
sudo make install

注意： 如果你不想覆盖系统自带的 OpenSSH，可以选择安装到自定义路径，并修改 /etc/ssh/sshd_config 中的 Path。

3.3 替换原有配置文件（可选）

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sudo cp /usr/local/openssh/etc/ssh_config /etc/ssh/
sudo cp /usr/local/openssh/etc/sshd_config /etc/ssh/

3.4 修改服务文件（可选）

如果你希望使用新版本的 sshd，可以创建一个新的 systemd 服务文件：

sudo nano /etc/systemd/system/sshds.service

内容如下：

[Unit]
Description=OpenSSH Server (9.9p2)
After=network.target

[Service]
Type=notify
ExecStart=/usr/local/openssh/sbin/sshd -D
Restart=on-failure
KillMode=process

[Install]
WantedBy=multi-user.target

然后启用并启动服务：

sudo systemctl daemon-reload
sudo systemctl enable sshds
sudo systemctl start sshds

注意： 如果你不想改用新服务，也可以直接替换 /usr/bin/sshd，但风险较高，建议使用自定义路径。

📌 步骤 4：重启 SSH 服务

sudo systemctl restart sshd

或者：

sudo /usr/local/openssh/sbin/sshd -t
sudo /usr/local/openssh/sbin/sshd

📌 步骤 5：验证版本

/usr/local/openssh/bin/ssh -V

输出应为：

OpenSSH_9.9p2, OpenSSL 1.1.1k  25 Mar 2021

---

六、总结（重点）

| 问题 | 解答 | |------|------| | 是否有其他方式解决漏洞？ | ❌ 无替代方案，必须升级 OpenSSH 9.9p2 | | OpenSSH 9.8p1 和 9.9p2 区别？ | 9.9p2 是修复漏洞的版本，更新方式更严格 | | 升级是否需要 reboot？ | ✅ 是的，建议重启或重启 SSH 服务 | | CentOS 8 升级步骤？ | ✅ 提供详细源码编译和配置步骤 |

---

七、代码示例（升级脚本）

#!/bin/bash

# 检查当前版本
echo "当前 OpenSSH 版本："
ssh -V

# 下载并编译 OpenSSH 9.9p2
cd /usr/src
wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.9p2.tar.gz
tar -xzf openssh-9.9p2.tar.gz
cd openssh-9.9p2

./configure --prefix=/usr/local/openssh
make
sudo make install

# 替换配置文件
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sudo cp /usr/local/openssh/etc/sshd_config /etc/ssh/

# 重启 SSH 服务
sudo systemctl restart sshd

# 验证版本
/usr/local/openssh/bin/ssh -V

---

如果您需要我为您生成一个一键升级脚本或自动化部署方案，欢迎继续提问！