centos7 openssl升級版本到OpenSSL 1.1.1n

Vckin發表於2022-03-22
CentOS

OpenSSL是一個開放原始碼的軟體庫包,應用程式可以使用這個包來保護安全通訊,避免竊聽,同時確認另一端連線者的身份,OpenSSL採用C語言作為主要開發語言,這使得OpenSSL具有優秀的跨平臺效能,OpenSSL支援Linux、BSD、Windows、Mac、VMS等平臺,這使其具有廣泛的適用性。

近日,監測到OpenSSL官方釋出了安全更新,修復了OpenSSL拒絕服務漏洞(CVE-2022-0778),OpenSSL中的BN_mod_sqrt() 函式包含一個致命錯誤,攻擊者可以透過構造特定證照來觸發無限迴圈,由於證照解析發生在證照籤名驗證之前,因此任何解析外部提供的證照場景都可能實現拒絕服務攻擊,目前,此漏洞細節及PoC已公開,威脅極大。

對此,建議廣大使用者做好資產自查以及預防工作,以免遭受駭客攻擊。

受影響版本

l OpenSSL == 1.0.2

l OpenSSL == 1.1.1

l OpenSSL == 3.0

其他受影響元件:Ubuntu、Debian、Redhat、CentOS、SUSE等平臺均受影響。

不受影響版本

l OpenSSL == 1.0.2zd(僅限高階支援使用者)

l OpenSSL == 1.1.1n

l OpenSSL == 3.0.2

通用修補建議:

目前,OpenSSL官方已針對此漏洞釋出修復版本,建議使用者儘快升級至安全版本。

1.升級OpenSSL

OpenSSL 1.0.2 使用者應升級到 1.0.2zd(僅限高階支援客戶)

OpenSSL 1.1.1 使用者應升級到 1.1.1n

OpenSSL 3.0 使用者應升級到 3.0.2

注意:OpenSSL 1.1.0版本及OpenSSL 1.0.2版本已停服,建議更新為最新版本。高階支援使用者需要更新請聯絡官方:www.openssl.org/support/contracts....

2.其他主流平臺升級

使用了OpenSSL的其他平臺如Ubuntu、Debian、Redhat、CentOS、SUSE均受此漏洞影響,具體受影響的平臺版本及修復建議請參考如下官方說明:

(**1Ubuntu**

www.linux.org/threads/usn-5328-2-o...

ubuntu.com/security/notices/USN-53...

(**2Debian**

www.debian.org/security/2022/dsa-5...

(**3Redhat**

access.redhat.com/security/cve/cve...

(**4SUSE**

www.suse.com/security/cve/CVE-2022...

1)www.openssl.org/news/secadv/202203...

2)www.openssl.org/policies/secpolicy...

3)www.linux.org/threads/usn-5328-2-o...

4)ubuntu.com/security/notices/USN-53...

5)www.debian.org/security/2022/dsa-5...

6)access.redhat.com/security/cve/cve...

7)www.suse.com/security/cve/CVE-2022...

升級到最新版本

    wget https://www.openssl.org/source/openssl-1.1.1n.tar.gz
    tar zxvf openssl-1.1.1n.tar.gz
    cd openssl-1.1.1n
    yum install gcc
    yum install perl-App-cpanminus.noarch
    ./config --prefix=/usr/local/openssl
    make && make install
    echo "/usr/local/lib64/" >> /etc/ld.so.conf
    ldconfig
    openssl version
    ln -s  /usr/local/openssl/bin/openssl /usr/bin/openssl

CENTOS8 升級最新版本

sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*
 sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*
 yum install wget
  yum install gcc -y
  yum install perl
  wget https://www.openssl.org/source/openssl-1.1.1n.tar.gz 
  tar zxvf openssl-1.1.1n.tar.gz
  cd openssl-1.1.1n 
  ./config --prefix=/usr/local/openssl 
  make && make install 
  echo  "/usr/local/lib64/"  >>  /etc/ld.so.conf 
  ldconfig 
  openssl version
本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章