![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dadvНаиболее быстрое применение патча из FreeBSD-SA-24:04.openssh для пользователей ветки STABLE (не использующих бинарные обновления системы) в предположении, что в /usr/src и /usr/obj осталось содержимое после предыдущего обновления. Если /usr/src осталось, но содержимое /usr/obj было полностью удалено, тоже подходит.
Подходит и для 12.4-STABLE, и для 14.x. Проблема не касается openssh-7.4 в базовой системе 11.4-STABLE.
Патчи в FreeBSD-SA-24:04.openssh для разных веток отличаются только контекстом в
Команда
Update: добавил пересборку и установку клиента ssh, так как он тоже использует libssh (libprivatessh.so) и после обновления библиотеки его тоже нужно пересобрать/перелинковать.
Подходит и для 12.4-STABLE, и для 14.x. Проблема не касается openssh-7.4 в базовой системе 11.4-STABLE.
fetch -o- https://security.FreeBSD.org/patches/SA-24:04/openssh-13.2.patch | sed '/version/,$d' > ~/openssh.patch
cd /usr/src
patch < ~/openssh.patch
cd secure/lib/libssh
make all install
cd ../../usr.sbin/sshd
make clean all install
service sshd restart
cd ../../usr.bin/ssh
make clean all install
Патчи в FreeBSD-SA-24:04.openssh для разных веток отличаются только контекстом в
crypto/openssh/version.h, обновляя #define SSH_VERSION_FREEBSD. Команда sed вырезает из патча чанк, который меняет этот файл, оставляя в патче лишь собственно исправление проблемы (пламенный привет сотрудникам служб ИБ).Команда
service sshd restart не трогает процессы sshd, обслуживающие уже установленные сессии, так что её безопасно выполнить удаленно через сам sshd, сессия не будет оборвана. Новые подключения будет обрабатывать уже запатченный новый серверный процесс sshd.Update: добавил пересборку и установку клиента ssh, так как он тоже использует libssh (libprivatessh.so) и после обновления библиотеки его тоже нужно пересобрать/перелинковать.