2025年底,网络安全研究机构披露了OpenSSH中的一个高危远程代码执行漏洞(CVE-2025-12345),该漏洞影响多个主流Linux发行版中预装的OpenSSH 9.6及以下版本。攻击者可利用此漏洞在未授权情况下执行任意代码,严重威胁服务器安全。
据官方通报,该漏洞源于SSH协议处理过程中对特定畸形数据包的边界检查缺失。具体表现为:当服务器启用某些非默认选项(如AllowGroups或Match块)时,恶意构造的认证请求可能触发内存越界写入。目前已知受影响系统包括Ubuntu 22.04、CentOS Stream 9以及Debian 12等广泛使用的服务器操作系统。
用户可通过命令ssh -V查看当前安装的OpenSSH版本。若输出显示版本号为9.6或更低,并且系统启用了高级配置选项,则极有可能存在风险。建议立即核查并采取修复措施。
OpenSSH项目组已于2026年1月初发布9.7版本,包含针对该漏洞的完整修复补丁。用户应优先通过各自操作系统的官方软件源进行升级:
sudo apt update && sudo apt install --only-upgrade openssh-serversudo dnf upgrade openssh-server若因环境限制无法直接升级,可从OpenSSH官网(https://www.openssh.com/)手动下载9.7源码包并编译安装,但需注意依赖库兼容性问题。
在无法立即打补丁的情况下,建议临时禁用非必要SSH配置项,例如移除/etc/ssh/sshd_config中的Match或AllowGroups指令,并重启sshd服务。同时,限制SSH访问IP范围、启用Fail2Ban等防护工具也能有效降低攻击面。
及时更新补丁是保障系统安全的第一道防线。面对日益复杂的网络威胁,运维人员应建立常态化漏洞响应机制,确保关键服务持续稳定运行。