升级Openssl到1.1i
CVE-2020-1971: OpenSSL 拒绝服务漏洞风险通告,腾讯主机安全(云镜)支持检测
2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。
威胁预警 > 正文
CVE-2020-1971: OpenSSL 拒绝服务漏洞风险通告,腾讯主机安全(云镜)支持检测
2020-12-09 09:41:36
2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。
漏洞描述:2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。
腾讯安全专家建议受影响的OpenSSL用户尽快采取安全措施阻止漏洞攻击。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
漏洞编号:CVE-2020-1971
漏洞等级:高危
受影响的版本:
OpenSSL 1.1.1 ~ 1.1.1h
OpenSSL 1.0.2 ~ 1.0.2w
安全版本:
OpenSSL 1.1.1i
OpenSSL 1.0.2x
具体详情请查看腾讯安全支持检测:https://s.tencent.com/research/bsafe/1193.html
升级OpenSsl到1.1i
1、查看主机openssl版本并查看是否需要升级
[root@openssl ~]# openssl version -a # 查看自己的Openssl版本是否是受影响版本
到官网下载对应的版本:https://www.openssl.org/source/
2、下载openssl-1.1.1i.tar.gz
[root@openssl /opt]# wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz
3、安装zlib
[root@openssl ~]# yum install -y zlib
4、解压安装
[root@openssl opt]# tar zxf openssl-1.1.1i.tar.gz
5、切换到解压好的openssl目录
[root@openssl opt]# cd openssl-1.1.1i
6、切换到openssl目录,编译安装openssl,指定编译目录为/usr/local/openssl(可自行指定)
[root@openssl openssl-1.1.1i]# ./config --prefix=/usr/local/openssl shared zlib
7、编译
[root@openssl openssl-1.1.1i]# make depend
[root@openssl openssl-1.1.1i]# make install
8、对老版本的openssl 做备份
[root@openssl openssl-1.1.1i]# mv /usr/bin/openssl /usr/bin/openssl.bak
[root@openssl openssl-1.1.1i]# mv /usr/include/openssl /usr/include/openssl.bak
9、将新编译的openssl做软连接方便后面升级
[root@openssl opt]# ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
[root@openssl opt]# ln -s /usr/local/openssl/include/openssl /usr/include/openssl
10、更新动态链接库数据
[root@openssl opt]# echo “/usr/local/openssl/lib” >> /etc/ld.so.conf
11、重新加载动态链接库
ldconfig -v
12、查看是否升级成功
[root@openssl opt]# openssl version -a
版权申明
本文系作者 @Tis-FYM 原创发布在Tis-FYI站点。未经许可,禁止转载。
暂无评论数据