CVE-2026-35414

您好，这个官网还没发布，联系400或者办事处

CSAP-SA-Cloud 日志审计平台 CVE-2026-35414 漏洞加固完整方案
一、漏洞基础说明
漏洞根源
CVE-2026-35414 是 OpenSSH 认证绕过漏洞，影响版本：OpenSSH < 10.3。
原理：处理 SSH 证书 Principal 字段时逗号分隔逻辑解析异常，攻击者构造特殊带逗号的证书主体，绕过 authorized_keys 里的 principal 访问限制，实现越权 SSH 登录服务器。
平台触发原因：CSAP-SA-Cloud 底层 EulerOS/Linux 内置低版本 OpenSSH，漏扫扫描 SSH 服务端口识别出该漏洞。
风险：攻击者若持有合法 SSH 证书，可绕过账号权限管控登录审计主机，窃取日志、篡改审计策略。
二、根治加固方案（优先执行，永久修复）
方案 1：升级 CSAP 平台完整补丁包（推荐，官方标准修复）
操作步骤
登录新华三官网 / 知了社区，下载适配你当前 CSAP-SA-Cloud 基线的安全整合补丁（补丁内已同步升级系统 OpenSSH 至 10.3 + 修复版本）；
Web 后台升级路径：
通用设置 → 程序升级 → 服务端补丁升级 → 上传 update 补丁包 → 立即升级；
升级完成后自动重启后台服务，登录 Console 执行校验：
bash
运行
ssh -V
输出版本 ≥ OpenSSH_10.3p1 即漏洞修复完成；
4. 重新漏扫复测，漏洞标记消除。
版本说明
E1804P12 及以后新版基线已内置修复；老旧 E17/E18 早期基线必须打安全补丁包。
方案 2：后台手动升级系统 OpenSSH（无平台补丁时临时根治）
用 root 账号 SSH 登录 CSAP 后台系统；
配置 EulerOS 官方安全源，执行升级命令：
bash
运行
yum update openssh openssh-server openssh-clients -y
重启 SSH 服务生效：
bash
运行
systemctl restart sshd
校验版本 ssh -V 确认≥10.3。
注意：平台版本大升级可能回滚系统 OpenSSH，优先使用厂商整合补丁，避免版本冲突。
三、临时缓解加固（补丁无法立即更新时，应急降风险）
1. 网络层面封禁 SSH 访问（最高优先级）
在前端防火墙 / 核心交换机放通策略做严格限制：
1）仅允许运维堡垒机固定 IP 访问 CSAP 22 端口；
2）拒绝所有互联网、办公区网段直接访问 22 端口；
示例 ACL（H3C 设备）：
plaintext
acl number 3000
rule permit tcp source 堡垒机IP 0 destination CSAP_IP eq 22
rule deny tcp destination CSAP_IP eq 22
2. SSH 服务配置加固，阻断漏洞利用条件
登录 CSAP 后台修改 sshd 配置，禁用证书 Principal 特性、限制证书登录：
bash
运行
vi /etc/ssh/sshd_config
# 新增/修改以下参数
TrustedUserCAKeys none
AuthorizedPrincipalsFile none
# 关闭证书认证（若无SSH证书运维需求）
PubkeyAuthentication yes
HostbasedAuthentication no
# 仅允许密码/密钥登录，禁用证书通道
保存后重启 sshd：systemctl restart sshd
3. 清理风险 SSH 证书
删除服务器所有 SSH CA 证书、用户 principal 授权配置：
bash
运行
rm -rf /etc/ssh/ca.pub
rm -rf /root/.ssh/authorized_principals
仅保留运维人员普通密钥登录，不再使用 SSH 证书体系，从根源消除漏洞利用前提。
4. 账号权限收紧
限制 root 禁止远程 SSH 登录：PermitRootLogin no；
仅保留 1 个运维管理账号，删除闲置 Linux 系统账号；
开启 SSH 登录日志审计，监控异常登录行为。
四、加固后验证步骤
查看 OpenSSH 版本：ssh -V，必须≥10.3；
检查 sshd 配置参数已生效：sshd -t 无报错；
前端防火墙确认 22 端口仅堡垒机可达；
重新执行漏扫任务，确认 CVE-2026-35414 高危漏洞消失。
五、避坑要点
不要直接重装系统 OpenSSH 后忽略平台补丁：后续平台版本升级会覆盖系统组件，漏洞复现；
若业务依赖 SSH 证书做设备采集，不能直接关闭证书认证，必须走官方整合补丁升级；
应急缓解仅做临时过渡，长期合规要求必须完成 OpenSSH 版本升级根治。

1. 升级 OpenSSH 至已修复版本

2. 全面审计环境与证书配置

• 排查异常凭证：重点检查系统中是否存在包含特殊字符（尤其是逗号）的异常证书或密钥配置。
• 清理低权限身份：防范低权限身份被恶意篡改为 root 凭证的风险。

3. 完善日志监控与检测机制