最近几天OpenSSH爆出了一个高危漏洞：CVE-2024-6387，影响到了很多的Linux服务器系统。明月第一时间给所有的代维客户服务器进行了排查和漏洞修复，因此耽搁了一些时间。直到今天才算抽出空来给大家分享一下。严格上来说这个漏洞的危险性还是极高的，说人话就是你的 Linux 服务器可以被随时入侵成为别人手里的肉鸡，至于这个肉鸡被人家用来干啥就是人家的自由了！

OpenSSH漏洞CVE-2024-6387概述

描述：这是一个针对CVE-2024-6387的漏洞利用，目标是 OpenSSH 服务器（sshd）中的信号处理程序竞争条件。该漏洞存在于基于 glibc 的 Linux 系统上，允许远程执行代码并获取 root 权限，因为在 SIGALRM 处理程序中调用了不安全的异步信号函数。

概要：该漏洞利用了 OpenSSH sshd 中的 SIGALRM 处理程序竞争条件：

1. 受影响版本：OpenSSH 8.5p1 到 9.8p1。
2. 漏洞利用：由于 SIGALRM 处理程序中调用了不安全的异步信号函数，导致可以远程执行代码并获取 root 权限。

SSH 远程登录是明月平时给客户代维的时候必须使用的方式，就算有宝塔的我都不用（实在是受不了图形界面那卡顿、缓慢、繁琐的操作体验），所以这个 OpenSSH 漏洞还是要重视起来的，否则带来的都是灾难性的后果。

因为明月的大部分代维客户的服务器系统已经被明月更换为Debian Linux了都，所以修复这个 OpenSSH 漏洞 CVE-2024-6387 相对来说很简单，基本也就是从官方安全源里跟新一下 openssh-server 应用即可，目前大部分服务器系统镜像里的 Debian Linux 发行版 openssh-server 版本都是：

如上图所示的9.2p1 Debian-2+deb12u2版，而根据 Debian 官方显示（见相关文章 1），9.2p1 Debian-2+deb12u3 才是安全的版本。所以，果断参照下面的方法更新就是了。

首先添加 Security 安全源，编辑 Debian Linu 安装源文件：

vim /etc/apt/sources.list

在结尾处复制粘贴如下的 Debian Linux 官方安全源：

deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

然后更新源：

apt update

再然后安装 openssh-server 应用包：

apt upgrade openssh-server

重启 SSH 服务进程：

systemctl restart ssh

最后输入ssh -V查看 OpenSSH 版本：

可以看到，已经升级到了官方的 OpenSSH 安全版本：9.2p1 Debian-2+deb12u3。

最后删除/etc/apt/sources.list里添加的安全源。

至此就修复了 OpenSSH 漏洞 CVE-2024-6387 带来的安全隐患，要注意的是还在使用CentOS系统的明月实测默认的 OpenSSH 版本都是OpenSSH_8.0p1，不受 CVE-2024-6387 漏洞的影响，不建议大家去刻意升级，因为目前 CentOS 已经停止维护了，所以只能采用编译安装的方式来更新 OpenSSH，新版的 OpenSSH 因为引入了更高的安全机制，会造成 SSH 服务进程无法重启的严重错误，这会造成远程 SSH 登录失败的，慎重哦！最后建议还在使用 CentOS 的尽快变更为 Debian Linux 了，没有维护的 Linux 是严重不安全的，存在很大的安全风险。