升级Openssl到1.1i

CVE-2020-1971: OpenSSL 拒绝服务漏洞风险通告，腾讯主机安全（云镜）支持检测

2020年12月08日，OpenSSL官方发布安全公告，披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。

威胁预警 > 正文

CVE-2020-1971: OpenSSL 拒绝服务漏洞风险通告，腾讯主机安全（云镜）支持检测
2020-12-09 09:41:36
2020年12月08日，OpenSSL官方发布安全公告，披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。
漏洞描述：

2020年12月08日，OpenSSL官方发布安全公告，披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时，由于GENERAL_NAME_cmp函数未能正确处理，从而导致空指针引用，并可能导致拒绝服务。

腾讯安全专家建议受影响的OpenSSL用户尽快采取安全措施阻止漏洞攻击。

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

漏洞编号：CVE-2020-1971

漏洞等级：高危

受影响的版本：

OpenSSL 1.1.1 ～ 1.1.1h

OpenSSL 1.0.2 ～ 1.0.2w

安全版本：

OpenSSL 1.1.1i

OpenSSL 1.0.2x

具体详情请查看腾讯安全支持检测：https://s.tencent.com/research/bsafe/1193.html

升级OpenSsl到1.1i

1、查看主机openssl版本并查看是否需要升级
[root@openssl ~]# openssl version -a  # 查看自己的Openssl版本是否是受影响版本

到官网下载对应的版本：https://www.openssl.org/source/


2、下载openssl-1.1.1i.tar.gz
[root@openssl /opt]# wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz

3、安装zlib
[root@openssl ~]# yum install -y zlib

4、解压安装
[root@openssl opt]# tar zxf openssl-1.1.1i.tar.gz

5、切换到解压好的openssl目录

[root@openssl opt]# cd openssl-1.1.1i

6、切换到openssl目录，编译安装openssl，指定编译目录为/usr/local/openssl（可自行指定）
 [root@openssl openssl-1.1.1i]# ./config --prefix=/usr/local/openssl shared zlib

7、编译
[root@openssl openssl-1.1.1i]# make depend
[root@openssl openssl-1.1.1i]# make install

8、对老版本的openssl 做备份

[root@openssl openssl-1.1.1i]# mv /usr/bin/openssl /usr/bin/openssl.bak
[root@openssl openssl-1.1.1i]# mv /usr/include/openssl /usr/include/openssl.bak

9、将新编译的openssl做软连接方便后面升级

[root@openssl opt]# ln -s /usr/local/openssl/bin/openssl   /usr/bin/openssl
[root@openssl opt]# ln -s /usr/local/openssl/include/openssl    /usr/include/openssl

10、更新动态链接库数据
[root@openssl opt]# echo “/usr/local/openssl/lib” >> /etc/ld.so.conf

11、重新加载动态链接库
ldconfig -v

12、查看是否升级成功
[root@openssl opt]# openssl version -a