Ícone do site Dolutech

Tutorial de Correção da CVE-2024-6387 no OpenSSH

CVE 2024 6387

A vulnerabilidade CVE-2024-6387 afeta versões anteriores do OpenSSH e pode ser corrigida atualizando para a versão mais recente. Este tutorial guiará você pelo processo de baixar, compilar e instalar a versão mais recente do OpenSSH, garantindo que sua instalação esteja segura contra esta vulnerabilidade.

*primeiro lembre de fazer uma cópia de segurança do seu arquivo etc/ssh/sshd_config , se você tiver configuração 2FA ativa no seu SSH lembre de desabilitar, e após atualizar adicionar novamente as configurações.

Passo 1: Baixar e Preparar a Compilação

Primeiro, vamos baixar e preparar a compilação do OpenSSH mais recente.

Instalar Dependências de Compilação

Execute os seguintes comandos para atualizar o sistema e instalar as dependências necessárias:

apt update
apt install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev wget -y

Baixar a Versão Mais Recente do OpenSSH

Navegue até o diretório /usr/local/src e baixe o pacote mais recente do OpenSSH:

cd /usr/local/src
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1

Passo 2: Compilar e Instalar

Agora, vamos compilar e instalar o OpenSSH:

./configure
make
make install

Caso você use configuração 2FA no seu ssh o primeiro comando da compilação use:

./configure --with-pam

Passo 3: Verificar a Versão Atualizada

Após a instalação, verifique a versão do OpenSSH para garantir que a atualização foi bem-sucedida:

/usr/local/bin/ssh -V

Passo 4: Atualizar o PATH

Certifique-se de que o novo OpenSSH está no PATH correto.

Adicione /usr/local/bin ao PATH:

export PATH=/usr/local/bin:$PATH

Adicione essa linha ao seu arquivo de perfil (~/.bashrc ou ~/.profile) para torná-la permanente:

echo 'export PATH=/usr/local/bin:$PATH' >> ~/.bashrc
source ~/.bashrc

Passo 5: Verificar o Serviço SSH

Reinicie o serviço SSH para garantir que ele está usando a nova versão. Tenha muito cuidado para não interromper sua conexão SSH atual:

systemctl restart ssh

Passo 6: Complemento e confirmação

Após um e-mail de um leitor, foi verificado que alguns sistemas operacionais mantem a execução da versão antiga mesmo depois de reiniciar, para verificar se é o seu caso é muito fácil, basta digitar:

ps aux|grep ssh

Se ele retornar o caminho ativo em /usr/sbin/sshd, basta executar o comando para ver a versão em funcionamento:

/usr/sbin/sshd -v

Se ela lhe retornar a versão antiga, para aplicar a nova versão compilada basta apenas adicionar o seguinte comando:

ln -sf /usr/local/sbin/sshd /usr/sbin/sshd

Depois basta apenas reiniciar seu SSH:

systemctl restart ssh

E asseguir você pode verificar novamente a versão:

/usr/sbin/sshd -v

que irá verificar a versão nova em funcionamento.

Se você possuir alguma modificação no seu SSHD_Config fixe a seguinte configuração:

edite o arquivo /etc/systemd/system/sshd.service:

vim /etc/systemd/system/sshd.service

Altere a linha ExecStart á deixando assim:

ExecStart=/usr/local/sbin/sshd -D -f /etc/ssh/sshd_config

seu arquivo irá ficar assim:

[Unit]
Description=OpenBSD Secure Shell server
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStartPre=/usr/sbin/sshd -t
ExecStart=/usr/local/sbin/sshd -D -f /etc/ssh/sshd_config
ExecReload=/usr/sbin/sshd -t
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartPreventExitStatus=255
Type=notify
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755

[Install]
WantedBy=multi-user.target
Alias=sshd.service

basta depois apenas aplicar:

systemctl daemon-reload
systemctl restart sshd
systemctl status sshd

Informações

Versão antigas como Debian 8/9, Ubuntu 16 e Ubuntu 18, não possuem OpenSSL superior á versão 1.1.1 que é a necessária para a nova versão do OpenSSH, então antes de compilar e configurar em seu servidor é necessário atualizar a versão do OpenSSL e garantir seu funcionamento, para depois seguir com a compilação da nova versão do OpenSSH.

Criamos um Tutorial de atualização do OpenSSL para lhe ajudar com a correção da CVE-2024-6387:

Acesse o tutorial clicando aqui

Dicas da Dolutech:

Instalar 2FA no seu SSH

Utilizar uma senha de 32 Caracteres

Conclusão

Seguindo os passos acima, você terá atualizado o OpenSSH para a versão mais recente, corrigindo a vulnerabilidade CVE-2024-6387. É crucial manter seu software atualizado para proteger seu sistema contra vulnerabilidades conhecidas e potenciais ataques. Verifique regularmente a existência de novas atualizações e patches de segurança para manter sua infraestrutura segura.

Sair da versão mobile