CVE-2020-1971: OpenSSL漏洞

升级openssl OpenSSL 1.1.1i 版本

wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz

操作方式参考 https://blog.csdn.net/u013165852/article/details/91861125

UPDATE 4.29


在Debian中更新时,需要注意如下内容

先安装 依赖包 apt-get install gcc-multilib

config时不要添加 shared zlib参数 直接 ./config

root@VM-1-15-debian:~# openssl version -a
OpenSSL 1.1.1k 25 Mar 2021
built on: Wed Apr 28 17:34:14 2021 UTC
platform: linux-x86_64
options: bn(64,64) rc4(8x,int) des(int) idea(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG
OPENSSLDIR: "/usr/local/ssl"
ENGINESDIR: "/usr/local/lib/engines-1.1"
Seeding source: os-specific
root@VM-1-15-debian:~# cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 10 (buster)"
NAME="Debian GNU/Linux"
VERSION_ID="10"
VERSION="10 (buster)"
VERSION_CODENAME=buster
ID=debian

centos8.0升级openssl至最新版本

建议等待官方的yum 源更新后 直接yum update openssl更新, 如必须编译安装, 需要备份完成后,操作。且此操作可能会导致部署失败。

如编译后重启实例无法登陆核实日志中出现 EVP_KDF的字样可以参考如下方法尝试进行恢复。

1.通过进入VNC或者单用户模式,查看history里面客户是如何自编译安装的,比如本例需要
进入/etc/ld.so.conf里面核实是否有异常项,需
’注释掉"echo “/usr/local/lib64” >> /etc/ld.so.conf"再执行/sbin/ldconfig
2.如果客户是按照安全侧提供的方案升级的话在/etc/ld.so.conf里是没有异常项的,这时可以通过如下命令查看/lib64/libcrypto.so.1.1和/lib64/libssl.so.1.1是不是有对应的软链接
ll /lib64/libcrypto.so.1.1
ll /lib64/libssl.so.1.1
如果没有的话可以先根据如下默认的路径创建软链接,然后重启ssh服务即可恢复
ln -sf /lib64/libcrypto.so.1.1.1c /lib64/libcrypto.so.1.1   先确认一下 系统中/lib64/libcrypto.so.1.1.1这个部分具体的版本 我的是 /lib64/libcrypto.so.1.1.1g
ln -sf /lib64/libssl.so.1.1.1c /lib64/libssl.so.1.1
systemctl restart sshd

测试机器中操作升级版本,最后make install 是失败的但是通过命令 openssl version 却能检查到版本已经更新了,重启实例后机器无法登陆。 由于机器中只有 /lib64/libcrypto.so.1.1.1g 我注释了在配置文件 ld.so.conf中/usr/local/lib64 并重建了软连接修复成功。

[root@VM-0-9-centos ~]# openssl version
OpenSSL 1.1.1j 16 Feb 2021 (Library: OpenSSL 1.1.1g FIPS 21 Apr 2020)

发表评论