FreeBSD 怎么升级 OpenSSH 修复今天的漏洞？线上有台 FreeBSD 14.0 生产服务器，上面跑了实名认证之类非关键服务，负责的员工离职半年多，公司没人熟悉这个系统，我弄了一晚上还是没成功升级 OpenSSH

找前同事，欠个人情/请吃顿饭/直接给钱

14.0-RELEASE-p8 已经修复，但只是打了 patch ，并没有全量更新到 openssh 9.8p1： https://github.com/freebsd/freebsd-src/commit/70eb00f17b310f599b60939c1afa326c7b2c390c

你看一下 /usr/src/crypto/openssh/version.h ，只要 SSH_VERSION_FREEBSD 的值为 "FreeBSD-20240701" 就没问题（保险起见，再看一下 /usr/sbin/sshd 的 mtime ），重启一下服务就好

@majula /usr/src/ 目录是空的没有文件，但是 /usr/sbin/sshd 的 mtime 是今天，sshd -V 输出是 OpenSSH_9.5p1, OpenSSL 3.0.12 24 Oct 2023

@majula 不知道这样算更新好了吗

@drymonfidelia #4

理论上是没问题的

再看下 /etc/os-release 里的 VERSION 是不是 14.0-RELEASE-p8

@majula /etc/os-release 的内容是
NAME=FreeBSD
VERSION="14.0-RELEASE"
VERSION_ID="14.0"
ID=freebsd
ANSI_COLOR="0;31"
PRETTY_NAME="FreeBSD 14.0-RELEASE"
CPE_NAME="cpe:/o:freebsd:freebsd:14.0"
HOME_URL="https://FreeBSD.org/"
BUG_REPORT_URL="https://bugs.FreeBSD.org/"
好像不是 -p8
但是执行 freebsd-update fetch 会提示 No updates needed to update system to 14.0-RELEASE-p8.

# freebsd-update fetch
src component not installed, skipped
Looking up update.FreeBSD.org mirrors... 3 mirrors found.
Fetching metadata signature for 14.0-RELEASE from update1.freebsd.org... done.
Fetching metadata index... done.
Inspecting system... done.
Preparing to download files... done.

No updates needed to update system to 14.0-RELEASE-p8.

@drymonfidelia #6

啊，这个文件是每次启动时生成的，如果你跑完 freebsd-update install 后没有重启，这个文件并不会更新

那你可以跑一下 freebsd-version -u 看下版本号（其实 /etc/os-release 中看到的 VERSION 就是用这个命令获取的，见 /etc/rc.d/os-release ）

你不考虑一劳永逸直接换掉 FreeBSD 吗
还是你打算接班
还是你打算再招一个 FreeBSD
你不觉得这玩意半年多没人管的风险比 ssh 漏洞大多了？
这个洞其实没那么严重，成功率很低不说，还很耗时

@kero991 公司人不够这台服务器临时我在管，后面应该会有人接班，我就不折腾了