文章总结: OpenSSH10.3版本修复了Shell注入漏洞和证书匹配安全问题,新增逃逸命令与连接状态查看功能,并提供针对CentOS/Ubuntu系统的自动化升级脚本与配置调整指南,建议生产环境按需升级。 综合评分: 82 文章分类: 漏洞预警,解决方案,安全工具,应用安全,网络安全
OpenSSH 10.3升级指南:漏洞修复+新特性,CentOS/Ubuntu一键脚本
原创
ralap ralap
网络个人修炼
2026年4月25日 11:14 陕西
在小说阅读器读本章
去阅读
继去年 10 月发布的 OpenSSH 10.2 版本之后,官方于 2026 年 4 月 2 日推出了 10.3 版本,先来关注一下主要更新内容。
一、10.3 版本主要更新(重点)
#
-
修复一个 Shell 注入漏洞(特定场景下攻击者可通过用户名执行任意代码)
-
修复证书主体为空时被错误当成通配符匹配任意用户的安全问题
-
移除对老旧不重协商实现的支持
-
scp 以 root 下载文件时,正确清除 SetUID/SetGID 位
-
新增 ~I 逃逸命令,以及 ssh -O conninfo 查看多路复用连接状态
-
支持 invaliduser 惩罚机制,可单独封禁无效用户名的暴力扫描
-
ssh-keygen
支持将 ED25519 密钥导出为 PKCS8 格式
本次更新漏洞影响有限,生产环境可按需升级,无需紧急处理。
二、CentOS 7 升级注意事项
#
OpenSSH 9.6版本升级指南
升级步骤与之前发布的《OpenSSH 9.6 版本升级指南》完全相同,只需将源码包换成 10.3 即可。
#
三、Ubuntu 22.04 升级注意事项
Ubuntu 22.04 仓库自带最高 只到8.9p1
正常编译安装,直接重启服务即可,没有特殊操作。
参考以下最简脚本
#!/bin/bashcd /optapt install -y wget gcc make perl zlib1g-dev libpam0g-dev libssl-devwget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-10.3p1.tar.gztar -zxvf openssh-10.3p1.tar.gzcd openssh-10.3p1./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr --with-pammake && make installsed -i 's/^#PermitRootLogin .*/PermitRootLogin yes/' /etc/ssh/sshd_configsed -i 's/^#PubkeyAuthentication .*/PubkeyAuthentication yes/' /etc/ssh/sshd_configsed -i 's/^#PasswordAuthentication .*/PasswordAuthentication yes/' /etc/ssh/sshd_configsystemctl daemon-reloadsystemctl restart sshsystemctl enable ssh
四、Ubuntu 24.04 升级(在线编译安装)注意事项
Ubuntu 24.04 仓库自带最高只到9.6p1
Ubuntu 24.04 默认使用了 socket 激活 方式监听 SSH。 如果编译安装完直接 systemctl restart ssh,可能会出现 旧 socket 仍然占用 22 端口,新版 sshd 起不来的情况。
正确操作顺序(编译安装完成后执行):
systemctl stop ssh.socket 2>/dev/null || truesystemctl disable ssh.socket 2>/dev/null || truesystemctl daemon-reloadsystemctl restart ssh#先干掉 ssh.socket,避免它跟新版 sshd 抢端口,再正常重启 ssh 服务。
参考以下最简脚本
#!/bin/bashcd /optapt install -y wget gcc make perl zlib1g-dev libpam0g-dev libssl-devwget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-10.3p1.tar.gztar -zxvf openssh-10.3p1.tar.gzcd openssh-10.3p1./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr --with-pammake && make installsystemctl stop ssh.socket 2>/dev/null || truesystemctl disable ssh.socket 2>/dev/null || truesed -i 's/^#PermitRootLogin .*/PermitRootLogin yes/' /etc/ssh/sshd_configsed -i 's/^#PubkeyAuthentication .*/PubkeyAuthentication yes/' /etc/ssh/sshd_configsed -i 's/^#PasswordAuthentication .*/PasswordAuthentication yes/' /etc/ssh/sshd_configsystemctl daemon-reloadsystemctl restart sshsystemctl enable ssh
若想回退Ubuntu初始openssh版本执行以下命令
apt install --reinstall openssh-server openssh-client -y
参考链接
https://www.openssh.org/releasenotes.html#10.3
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络个人修炼 ralap ralap《OpenSSH 10.3升级指南:漏洞修复+新特性,CentOS/Ubuntu一键脚本》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论