Ubuntu 升级 OpenSSL 至 1.1.1安全版本版本以修复高危漏洞 CVE-2020-1971
漏洞信息
2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。
修复方案:
# 腾讯云主机可执行: sudo apt-get install openssl --only-upgrade sudo yum update openssl # 将openssl更新到安全版本
参考链接:https://s.tencent.com/research/bsafe/1193.html
更新流程
-
下载
OpenSSL 1.1.1i
源代码:wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz
-
解压源代码:
tar -zxf openssl-1.1.1i.tar.gz && cd openssl-1.1.1i
-
签发配置文件
./config
-
配置编译
make
-
备份当前
OpenSSL
二进制文件sudo mv /usr/bin/openssl /usr/bin/openssl.backup
-
编译运行
sudo make install
-
创建软链接
sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
-
更新动态链接库
echo '/usr/local/openssl/lib' >> /etc/ld.so.conf sudo ldconfig -v
-
检查版本信息
openssl version
如果无法覆盖,则可以执行简单粗暴的方法:
# 删库重装 sudo apt-get purge openssl rm -rf /etc/ssl
remove 与 purge
apt-get remove:删除软件包而保留软件的配置文件
apt-get purge:同时删除软件包和软件的配置文件
然后重新执行编译安装流程