TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
<*来源:Karthik Bhargavan
Gaetan Leurent
链接:https://www.openssl.org/news/secadv/20160922.txt
*>
厂商补丁:
OpenSSL Project
---------------
OpenSSL Project已经为此发布了一个安全公告(20160922)以及相应补丁:
20160922:OpenSSL Security Advisory [22 Sep 2016]
链接:https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本:
https://www.openssl.org/source/
漏洞返回信息
DES/3DES Ciphers:
TLS11_RSA_WITH_3DES_EDE_CBC_SHA
TLS1_RSA_WITH_3DES_EDE_CBC_SHA
TLS12_RSA_WITH_3DES_EDE_CBC_SHA
一、下载OpenSSL源码包(当前最新版本为1.1.1i)
# 下载源码包
wget https://mirrors.cloud.tencent.com/openssl/source/openssl-1.1.1i.tar.gz -O /usr/local/src/openssl-1.1.1i.tar.gz
# 源码编译依赖gcc和perl(5.0版本以上)
yum -y install gcc perl
二、源码编译安装
# 压缩包解压
cd /usr/local/src
tar xf openssl-1.1.1i.tar.gz
# 切换到源码目录
cd openssl-1.1.1i
# 执行编译
./config --prefix=/usr/local/openssl
./config -t
make && make install
三、使用新版OpenSSL
查询旧版OpenSSL
rpm -qa | grep openssl
# 卸载旧版OpenSSL(--nodeps参数表示忽略依赖关系)
rpm -e openssl --nodeps
# 使用新版OpenSSL
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
# 添加函数库
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
# 更新函数库
ldconfig -v
# 检查新版OpenSSL
openssl version -a
注意事项
系统旧版openssl软件包可以卸载,openssl其他附属软件包不建议卸载
系统默认安装的openssl-libs不能卸载,否则系统可能会崩溃
YYQ运维技术博客_运维的工作学习之路
https://www.yeyouqing.top
https://yeyouqing.top
yeyouqing.top
www.yeyouqing.top