gaoyuan 的个人博客

菜鸡的成长之路

Open Source, Open Mind,
Open Sight, Open Future!
  menu
34 文章
1 评论
20800 浏览
0 当前访客
ღゝ◡╹)ノ❤️

CVE-2020-1971: OpenSSL漏洞

升级openssl OpenSSL 1.1.1i 版本

wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz

操作方式参考 https://blog.csdn.net/u013165852/article/details/91861125

UPDATE 4.29


在Debian中更新时,需要注意如下内容

先安装 依赖包 apt-get install gcc-multilib

config时不要添加 shared zlib参数 直接 ./config

root@VM-1-15-debian:~# openssl version -a OpenSSL 1.1.1k 25 Mar 2021 built on: Wed Apr 28 17:34:14 2021 UTC platform: linux-x86_64 options: bn(64,64) rc4(8x,int) des(int) idea(int) blowfish(ptr) compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG OPENSSLDIR: "/usr/local/ssl" ENGINESDIR: "/usr/local/lib/engines-1.1" Seeding source: os-specific root@VM-1-15-debian:~# cat /etc/os-release PRETTY_NAME="Debian GNU/Linux 10 (buster)" NAME="Debian GNU/Linux" VERSION_ID="10" VERSION="10 (buster)" VERSION_CODENAME=buster ID=debian

centos8.0升级openssl至最新版本

建议等待官方的yum 源更新后 直接yum update openssl更新, 如必须编译安装, 需要备份完成后,操作。且此操作可能会导致部署失败。

bb11

如编译后重启实例无法登陆核实日志中出现 EVP_KDF的字样可以参考如下方法尝试进行恢复。

1.通过进入VNC或者单用户模式,查看history里面客户是如何自编译安装的,比如本例需要<br>进入/etc/ld.so.conf里面核实是否有异常项,需<br>’注释掉"echo “/usr/local/lib64” >> /etc/ld.so.conf"再执行/sbin/ldconfig
2.如果客户是按照安全侧提供的方案升级的话在/etc/ld.so.conf里是没有异常项的,这时可以通过如下命令查看/lib64/libcrypto.so.1.1和/lib64/libssl.so.1.1是不是有对应的软链接
ll /lib64/libcrypto.so.1.1
ll /lib64/libssl.so.1.1
如果没有的话可以先根据如下默认的路径创建软链接,然后重启ssh服务即可恢复
ln -sf /lib64/libcrypto.so.1.1.1c /lib64/libcrypto.so.1.1   先确认一下 系统中/lib64/libcrypto.so.1.1.1这个部分具体的版本 我的是 /lib64/libcrypto.so.1.1.1g
ln -sf /lib64/libssl.so.1.1.1c /lib64/libssl.so.1.1
systemctl restart sshd

测试机器中操作升级版本,最后make install 是失败的但是通过命令 openssl version 却能检查到版本已经更新了,重启实例后机器无法登陆。 由于机器中只有 /lib64/libcrypto.so.1.1.1g 我注释了在配置文件 ld.so.conf中/usr/local/lib64 并重建了软连接修复成功。

[root@VM-0-9-centos ~]# openssl version
OpenSSL 1.1.1j 16 Feb 2021 (Library: OpenSSL 1.1.1g FIPS 21 Apr 2020)

标题:CVE-2020-1971: OpenSSL漏洞
作者:gaoyuan
地址:HTTP://jkgaoyuan.tech/articles/2021/04/30/1619779860000.html

评论
取消