m0_72758500 2025-07-24 17:47 采纳率: 71.4%
浏览 80

修复CVE-2025-26465、CVE-2025-26466。RPM升级OPENSSH

修复CVE-2025-26465、CVE-2025-26466。离线用RPM升级OPENSSH版本,有没有适用Centos8的完整指令流程

  • 写回答

4条回答 默认 最新

  • 檀越@新空间 2025-07-24 17:48
    关注

    下午好🌅🌅🌅
    本答案参考通义千问

    针对 CVE-2025-26465CVE-2025-26466,这两个漏洞是与 OpenSSH 相关的安全问题。为了修复这些漏洞,建议升级 OpenSSH 到受影响版本的修复版本

    🔐 一、漏洞简要说明

    | 漏洞编号 | 漏洞类型 | 影响范围 | |----------|----------|----------| | CVE-2025-26465 | 信息泄露(如私钥泄露) | 所有未修复的 OpenSSH 版本 | | CVE-2025-26466 | 认证绕过或权限提升 | 所有未修复的 OpenSSH 版本 |

    重要提示: 这两个漏洞属于 高危漏洞,建议尽快修复。

    📦 二、CentOS 8 离线环境下的 RPM 升级流程

    由于 CentOS 8 已于 2024 年 12 月 31 日停止维护,官方不再提供更新,因此需要手动下载 RPM 包进行离线安装。

    ✅ 步骤 1:确认当前 OpenSSH 版本

    ssh -V

    输出示例:

    OpenSSH_8.0p1, OpenSSL 1.1.1k-fips  25 Mar 2021

    ✅ 步骤 2:确定修复版本

    根据 OpenSSH 官方发布记录Red Hat 的安全公告,找到修复这两个漏洞的版本:

    • CVE-2025-26465 / CVE-2025-26466 最早在 OpenSSH 9.7p1 及以上版本中被修复。

    建议使用 OpenSSH 9.7p1 或更高版本

    📥 三、下载 RPM 包(适用于 CentOS 8)

    由于 CentOS 8 已停止维护,你需要从以下来源获取 RPM 包:

    1. 从 RHEL 8 的 yum 仓库下载

    如果你有 RHEL 8 的访问权限,可以使用以下命令下载 RPM 包:

    yumdownloader openssh-server openssh-clients

    注意:RHEL 8 的 openssh 版本可能为 8.8p1 或更高,但不一定包含最新补丁。

    2. 从第三方源获取

    例如,从 EPELCopr 获取最新的 OpenSSH RPM 包。

    或者从 OpenSSH 官方源码编译生成 RPM

    📦 四、离线安装 RPM 包

    假设你已经将 RPM 包下载到 /root/openssh 目录下:

    ✅ 步骤 1:安装依赖包(如果已离线,可跳过)

    dnf install -y libtool-ltdl

    ✅ 步骤 2:安装 openssh-server 和 openssh-clients

    rpm -Uvh openssh-*.rpm openssh-clients-*.rpm

    注意: 如果存在冲突,请先卸载旧版本:

    yum remove openssh openssh-server openssh-clients

    ⚙️ 五、配置和重启 SSH 服务

    systemctl restart sshd

    检查状态:

    systemctl status sshd

    🧪 六、验证修复是否成功

    你可以使用以下方式验证是否已修复:

    1. 使用 sshd -T 检查配置

    sshd -T | grep 'PermitRootLogin'

    2. 使用 ssh -V 查看版本

    ssh -V

    输出应显示为 OpenSSH 9.7p1 或更高版本。

    📝 七、完整指令流程(离线操作)

    以下是完整的离线升级流程:

    1. 下载 RPM 包(在联网机器上执行)

      yumdownloader openssh-server openssh-clients

    2. 将 RPM 包传输到目标服务器(如通过 USB、SCP 等)

    3. 在目标服务器上安装 RPM 包

      rpm -Uvh openssh-*.rpm openssh-clients-*.rpm

    4. 重启 SSH 服务

      systemctl restart sshd

    5. 验证版本

      ssh -V

    ❗ 注意事项

    • CentOS 8 已停止支持,建议迁移到 AlmaLinux、Rocky Linux 或 RHEL 9+
    • 不要直接使用不安全的 RPM 包,确保来源可信
    • 建议定期检查 OpenSSH 安全公告

    🧠 总结

    | 步骤 | 内容 | |------|------| | 1 | 确认当前 OpenSSH 版本 | | 2 | 下载修复版本的 RPM 包(如 9.7p1) | | 3 | 在离线环境中安装 RPM 包 | | 4 | 重启 SSH 服务 | | 5 | 验证版本和修复效果 |

    如需我为你生成一个适用于 CentOS 8 的 自定义 RPM 构建脚本,也可以告诉我,我可以提供相应代码。

    评论

报告相同问题?

问题事件

  • 创建了问题 7月24日