OpenSSL拒绝服务漏洞
下载地址:https://www.openssl.org/source/
方法:升级openssl版本
关于OpenSSL拒绝服务漏洞的预警通报
近日,OpenSSL版本1.0.2、1.1.1和3.0中的拒绝服务漏洞已被修复。OpenSSL作为使用最广泛的加密库之一,预装在各主流Linux发型版之中,如Ubuntu、Debian、Redhat、CentOS、SUSE等平台。目前漏洞细节及POC(观点验证程序)已公开,请各单位尽快对照排查相关内容,采取有效安全措施,防范该漏洞可能造成的服务异常等安全隐患。
二、漏洞影响范围
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.1:1.1.1-1.1.1m
OpenSSL版本3.0:3.0.0、3.0.1
三、漏洞修复建议
OpenSSL官方渠道已发布新版本修复漏洞,建议受影响用户及时升级更新,详细信息如下:
OpenSSL1.0.2用户应升级至1.0.2zd(仅限高级支持用户)
OpenSSL1.1.1用户应升级至1.1.1n
OpenSSL3.0用户应升级至3.0.2
下载链接:
<https://www.openssl.org/source/>
git:
<https://github.com/openssl/openssl/tags>
升级步骤:
0、安装依赖:
yum install -y zlib zlib-dev openssl-devel sqlite-devel bzip2-devel libffi libffi-devel gcc gcc-c++
1、备份当前openssl:
mv /usr/local/openssl /usr/local/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
2、解压并进入解压目录后执行:
./config --prefix=/usr/local/openssl shared zlib
make depend
make && make install
#此时/usr/local/下有了新的openssl
3、配置使用新版本:
#配置软链接
ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -sf /usr/local/openssl/include/openssl /usr/include/openssl
4、更新动态链接库数据:
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
#重新加载动态链接库
ldconfig -v
5、重新查看版本号:
openssl version
故障排查:
如果在更新完后执行openssl version 命令报错如下:
这是由于openssl库的位置不正确造成的。可以做一个软连接:
ln -sf /usr/local/openssl/lib/libssl.so.1.1 /usr/lib/
ln -sf /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib/
#重新加载动态链接库
ldconfig -v
然后执行openssl version命令即可