目录
CVE-2018-19052和CVE-2019-11072——升级lighttpd
CVE-2021-23017——卸载nginx(可能不适用于大家)
CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP
目标主机showmount -e信息泄露(CVE-1999-0554)
转载请注明出处:小锋学长生活大爆炸[https://blog.csdn.net/sxf1061700625]
lighttpd mod_alias_physical_handler’函数路径遍历漏洞(CVE-2018-19052) |
lighttpd 输入验证错误漏洞(CVE-2019-11072) |
OpenSSH 操作系统命令注入漏洞(CVE-2020-15778) |
OpenSSH 安全漏洞(CVE-2021-41617) |
Nginx DNS解析程序漏洞(CVE-2021-23017) |
PHP 缓冲区错误漏洞(CVE-2021-21703) |
PHP 资源管理错误漏洞(CVE-2021-21708) |
PHP 安全漏洞(CVE-2022-31626) |
PHP 安全漏洞(CVE-2022-31625) |
- sudo apt-get --purge remove apache2
- sudo apt-get --purge remove apache2.2-common
- sudo apt-get autoremove
- sudo find /etc -name "*apache*" -exec rm -rf {} \;
- sudo rm -rf /var/www
sudo mv /usr/bin/scp /usr/bin/no_use_scp
温馨提示:在执行操作之前,建议使用root用户,或者登录一个root用户窗口备用,以免环境出问题导致只能重装系统!!!
对于centos(注意glibc不要升级,不然可能会出问题):
- sudo yum update
- sudo yum install wget tar make gcc perl pcre-devel zlib-devel
对于ubuntu:
- sudo apt update
- sudo apt install wget tar make gcc perl libc-dev libzip-dev libssl-dev autoconf gcc libxml2 libpam0g-dev -y
- cd ~
- wget https://www.openssl.org/source/openssl-1.1.1t.tar.gz --no-check-certificate
- tar xzvf openssl-1.1.1t.tar.gz
- rm openssl-1.1.1t.tar.gz -rf
- cd openssl-1.1.1t
-
- # ---------------------------------------------------------------------------------- #
- # 以下两种情况,选择一种执行即可。比较推荐“情况1”!
-
- # 情况1:
- # 要加上shared参数,否则在升级ssh时会出现头文件和库文件不匹配的信息。
- ./config shared zlib --prefix=/usr/local/openssl --openssldir=/usr/local/openssl
- make clean
- make -j
- # 建议以下这一步没问题再往后执行(即显示All tests successful. 如果出错,往下面看)
- sudo make test
- sudo make install
-
- sudo mv /usr/bin/openssl /usr/bin/openssl.bak
- sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
- sudo mv /usr/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1.bak
- sudo mv /usr/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1.bak
- # 以下也有可能是/usr/local/openssl/lib,通过 ls /usr/local/openssl/ 看存在哪个
- sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
- sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
-
- sudo mv /usr/include/openssl /usr/include/openssl.bak
- sudo ln -sf /usr/local/openssl/include/openssl /usr/include/openssl
-
-
- cat /etc/ld.so.conf
- sudo vim /etc/ld.so.conf
- # 追加:/usr/local/openssl/lib64
- # 跟上面一样,有可能是 /usr/local/openssl/lib,通过 ls /usr/local/openssl/ 看存在哪个
-
- # ---------------------------------------------------------------------------------- #
-
- # 情况2:
- # 对于不加任何参数,则默认的安装位置为:/usr/local/bin/openssl。
- ./config
- make -j64
- # 建议以下这一步没问题再往后执行(即显示All tests successful.)
- sudo make test
- sudo make install
- sudo mv /usr/bin/openssl /usr/bin/openssl.old
- sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
-
- cat /etc/ld.so.conf
- sudo vim /etc/ld.so.conf
- # 追加:/usr/local/lib
- # 也有可能是/usr/local/lib64,看存在哪个
-
- # ---------------------------------------------------------------------------------- #
-
-
- which openssl
- sudo ldconfig -v
- openssl version
- ldd /usr/local/openssl/bin/openssl
问题一:如果在make test时候报错不通过,建议先升级一下perl:
- cd ~
- # 主要不要用最新的“不稳定开发版”
- wget http://www.cpan.org/authors/id/S/SH/SHAY/perl-5.30.1.tar.gz --no-check-certificate
- tar xzvf perl-5.30.1.tar.gz
- cd perl-5.30.1
- ./Configure -des -Dprefix=/usr/local/perl -Dusethreads -Uinstalluserbinperl -Dcc=gcc
- make -j
- sudo make test
- sudo make install
- sudo mv /usr/bin/perl /usr/bin/perl.bak
- sudo ln -s /usr/local/perl/bin/perl /usr/bin/perl
- perl -v
然后重新执行上面openssl的make test。
问题二:如果一直显示使用的是anaconda的openssl,要么删除该openssl(不推荐):
rm /home/sxf/anaconda3/bin/openssl # 视情况
还有一种情况是,Conda可能在你的shell中默认是激活的,在Ubuntu上安装anaconda的情况往往如此。在你的shell提示符的开头可能有(base)。
因此简单地运行conda deactivate可以解决这个问题。
问题三:如果报错:
openssl: symbol lookup error: openssl: undefined symbol: EVP_mdc2, version OPENSSL_1_1_0
就把最后openssl的路径改为写到/etc/ld.so.conf.d/libc.conf中:
- sudo vim /etc/ld.so.conf.d/libc.conf
- # 写入:/usr/local/openssl/lib64
问题四:如果报错:
openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
如果ls等基础命令都不能用了,赶紧先用root用户执行下:
/sbin/ldconfig
然后检查一下是/usr/local/openssl/lib64还是/usr/local/openssl/lib,然后看情况重新执行:
- sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
- sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
- # 或者
- sudo ln -sf /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
- sudo ln -sf /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
问题五:如果报错:
error while loading shared libraries: __vdso_time
检查一下libc版本,并回退到之前可用的版本,比如之前是2.14,那么:
- export LD_LIBRARY_PATH=/opt/glibc-2.14/lib:$LD_LIBRARY_PATH
- LD_PRELOAD=/lib64/libc-2.14.so ln -fs /lib64/libc-2.14.so /lib64/libc.so.6
(最新版openssh9.3p可能会存在sshd兼容问题,建议先别装这么新的)
由于升级太频繁了,给个脚本吧,可能不是很完善,看情况使用:update_openssh.sh
- cd ~
- wget https://www.zlib.net/zlib-1.2.13.tar.gz --no-check-certificate
- tar zxvf zlib-1.2.13.tar.gz
- rm zlib-1.2.13.tar.gz -rf
- cd zlib-1.2.13/
- ./configure --prefix=/usr/local/zlib --shared
- make clean
- make -j
- sudo make install
-
- cd ~
- wget https://fastly.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz --no-check-certificate
- tar zxvf openssh-9.3p2.tar.gz
- rm openssh-9.3p2.tar.gz -rf
- cd openssh-9.3p2
- # 注意,如果上面更改了openssl的默认安装位置,那么--with-ssl-dir可能跟我不一样
- ./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl --without-openssl-header-check --with-pam
- make clean
- make -j
- sudo mv /etc/ssh /etc/ssh.old
- sudo make install
-
- # 启动一下OpenSSH
- # /usr/local/openssh/sbin/sshd
- # 如果遇到报错,就先将以下内容写入:sudo vim /etc/passwd
- sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
-
- sudo make install
-
- # 如果显示了“ssh_config already exists, install will not overwrite”,那可以不用执行下面这2行
- sudo cp -f /etc/ssh.old/sshd_config /etc/ssh/
- sudo sed -i 's/Type=notify/Type=simple/' /etc/systemd/system/sshd.service || sed -i 's/Type=notify/Type=simple/' /lib/systemd/system/ssh.service
-
-
- sudo mv /usr/sbin/sshd /usr/sbin/sshd.bk
- sudo mv /usr/bin/ssh /usr/bin/ssh.bk
- sudo mv /usr/bin/scp /usr/bin/scp.bk
- sudo mv /usr/bin/sftp /usr/bin/sftp.bk
- sudo mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bk
- sudo mv /usr/bin/ssh-agent /usr/bin/ssh-agent.bk
- sudo mv /usr/bin/ssh-add /usr/bin/ssh-add.bk
- sudo mv /usr/bin/ssh-keyscan /usr/bin/ssh-keyscan.bk
- sudo ln -sf /usr/local/openssh/sbin/sshd /usr/sbin/sshd
- sudo ln -sf /usr/local/openssh/bin/ssh /usr/bin/ssh
- sudo ln -sf /usr/local/openssh/bin/scp /usr/bin/scp
- sudo ln -sf /usr/local/openssh/bin/sftp /usr/bin/sftp
- sudo ln -sf /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
- sudo ln -sf /usr/local/openssh/bin/ssh-agent /usr/bin/ssh-agent
- sudo ln -sf /usr/local/openssh/bin/ssh-add /usr/bin/ssh-add
- sudo ln -sf /usr/local/openssh/bin/ssh-keyscan /usr/bin/ssh-keyscan
- # sudo mv /usr/local/openssh/bin/* /usr/bin/
- sudo mv /usr/local/openssh/bin/scp /usr/local/openssh/bin/no_use_scp
-
- sudo ldconfig
- sudo /usr/sbin/sshd
- sudo systemctl daemon-reload
- sudo systemctl enable ssh
- sudo systemctl restart sshd
-
- ssh -V
- sshd -v
- netstat -tnlp | grep :22
问题一:如果遇到报错:
checking for openssl... /usr/bin/openssl
configure: error: *** working libcrypto not found, check config.log
检查下--with-ssl-dir=/usr/local/openssl这个路径对不对。
问题二:如果遇到报错:
checking OpenSSL library version... 1010111f (OpenSSL 1.1.1q 5 Jul 2022)
checking whether OpenSSL's headers match the library... no
configure: error: Your OpenSSL headers do not match your
library. Check config.log for details.
If you are sure your installation is consistent, you can disable the check
by running "./configure --without-openssl-header-check".
Also see contrib/findssl.sh for help identifying header/library mismatches.
那是你的环境里openssl安装有问题,导致openssl与他的库版本不一致。
补一下openssl中的以下操作,注意是openssl/lib64还是openssl/lib:(推荐)
- sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
- sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
如果不行,可以尝试sudo apt remove openssl先卸载openssl,然后按照再上面步骤重新安装openssl。(不推荐)
如果不行,或者直接添加--without-openssl-header-check来跳过检查。(次推荐)
官方已修复该漏洞
- sudo apt install -y gcc libpcre2-dev libpcre3 libpcre3-dev zlib1g-dev checkinstall libssl-dev
- cd ~
- wget https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.gz
- tar zxvf lighttpd-1.4.66.tar.gz
- rm lighttpd-1.4.66.tar.gz
- cd lighttpd-1.4.66
- ./configure --with-openssl --sbindir=/usr/sbin
- make -j12
- sudo make install
- sudo service lighttpd restart
将残留卸载干净
- dpkg --get-selections|grep nginx
- sudo apt-get --purge remove nginx -y
- sudo apt-get --purge remove nginx-common -y
- sudo apt-get --purge remove nginx-core -y
- # 删除 Apache2 的包及相关文件:
- sudo apt-get --purge remove apache2* -y
- sudo apt-get --purge remove apache2.* -y
- sudo apt-get --purge remove apache2-dev -y
- sudo apt autoremove -y
-
- # 删除 Apache2 的配置文件:(慎重!)
- sudo find /etc -name "*apache2*"|xargs sudo rm -rf
-
- # 删除 Apache2 的相关目录:(慎重再慎重!)
- sudo rm -rf /var/www/*
- sudo rm -rf /etc/apache2*
- sudo rm -rf /etc/httpd*
-
- # 删除 Apache2 的相关注册表键:(慎重!)
- sudo rm -f -- /etc/httpd/conf.d/*
官方8.1.7版本已修复该漏洞。原本装的PHP7,现在升级到8,升级后漏洞虽然得到修复,但对于服务器现有web环境的影响,还需要进一步检测。
- sudo apt install software-properties-common
- sudo add-apt-repository ppa:ondrej/php
- sudo apt update
-
- sudo apt install php8.1
- sudo apt install php8.1-fpm
对于老的openssl,可先升级。
然后配置:
vim /etc/ssh/sshd_config
最后面添加:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
重启服务:
sudo service sshd restart
方式一、禁用showmount命令
sudo vim /etc/exports
将“-v”选项从exportfs命令中删除,这将禁用showmount命令:
/share/dir *(nohide)
保存配置文件并退出。
重新启动NFS服务器以使更改生效。
方式二、隐藏目录
编辑位于/etc/exports的NFS服务器配置文件,并在所有导出的文件系统中添加“nohide”选项。
sudo vim /etc/exports
添加nohide:
/export/backup *(rw,nohide)
重启NFS:
sudo service nfs restart
方式三、直接限制IP或用户
- NSFOCUS建议您采取以下措施以降低威胁:
- * 限制可以获取NFS输出列表的IP和用户。
- * 除非绝对必要,请关闭NFS服务、MOUNTD。
-
- # 在NFS服务器上:
- vim /etc/hosts.allow
- mountd:192.168.1.10
- rpcbind:192.168.1.10:allow
-
- vim /etc/hosts.deny
- mountd:ALL
- rpcbind:ALL:deny
-
- 或者
- vim /etc/exports
- /data 192.168.1.10(rw,sync)
- /data 192.168.1.12(rw,sync)
-
- exportfs -rv
sudo vim /etc/ssh/sshd_config
将X11Forwarding设置为no,并保存文件。
sudo service sshd restart