生产环境openssl漏洞-升级openssl到最新版本

最新推荐文章于 2023-02-07 19:42:19 发布
最新推荐文章于 2023-02-07 19:42:19 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: openssl 文章标签: openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/at1358/article/details/114363753
版权

在这里插入图片描述

TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
<*来源:Karthik Bhargavan
        Gaetan Leurent
  链接:https://www.openssl.org/news/secadv/20160922.txt
*>

厂商补丁:
OpenSSL Project
---------------
OpenSSL Project已经为此发布了一个安全公告(20160922)以及相应补丁:
20160922:OpenSSL Security Advisory [22 Sep 2016]
链接:https://www.openssl.org/news/secadv/20160922.txt

请在下列网页下载最新版本:  
https://www.openssl.org/source/

漏洞返回信息
DES/3DES Ciphers:
TLS11_RSA_WITH_3DES_EDE_CBC_SHA
TLS1_RSA_WITH_3DES_EDE_CBC_SHA
TLS12_RSA_WITH_3DES_EDE_CBC_SHA

一、下载OpenSSL源码包(当前最新版本为1.1.1i)

# 下载源码包
wget https://mirrors.cloud.tencent.com/openssl/source/openssl-1.1.1i.tar.gz -O /usr/local/src/openssl-1.1.1i.tar.gz
# 源码编译依赖gcc和perl(5.0版本以上)
yum -y install gcc perl

二、源码编译安装

# 压缩包解压
cd /usr/local/src
tar xf openssl-1.1.1i.tar.gz
# 切换到源码目录
cd openssl-1.1.1i
# 执行编译
./config --prefix=/usr/local/openssl
./config -t
make && make install

三、使用新版OpenSSL

 查询旧版OpenSSL
rpm -qa | grep openssl
# 卸载旧版OpenSSL(--nodeps参数表示忽略依赖关系)
rpm -e openssl --nodeps
# 使用新版OpenSSL
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
# 添加函数库
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
# 更新函数库
ldconfig -v
# 检查新版OpenSSL
openssl version -a

注意事项
系统旧版openssl软件包可以卸载,openssl其他附属软件包不建议卸载
系统默认安装的openssl-libs不能卸载,否则系统可能会崩溃

YYQ运维技术博客_运维的工作学习之路
https://www.yeyouqing.top
https://yeyouqing.top
yeyouqing.top
www.yeyouqing.top

at1358
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
4月8日openssl漏洞补丁[heart-bleed][CentOS6][RedHat 6]
04-09
[CentOS 6.x][RedHat 6.x] OpenSSL "heartbleed" 的安全漏洞.在 heartbleed 的官网上有关于 CVE-2014-0160 漏洞的详细信息,这是关于 OpenSSL 的信息泄漏漏洞导致的安全问题。改 Heartbleed bug 可以让互联网的任何人读取系统保护内存,这种妥协密钥用于识别服务提供者和加密流量,用户名和密码的和实际的内容。该漏洞允许攻击者窃听通讯,并通过模拟服务提供者和用户来直接从服务提供者盗取数据。
漏洞修复】--OpenSSL Security Advisory [22 Sep 2016]
u012429202的博客
07-31 909
此文章主要记录OpenSSL Security Advisory [22 Sep 2016]漏洞的修复方法。
OpenSSL 升级
mengruobaobao的博客
11-19 1219
OpenSSL Project已经为此发布了一个安全公告(20160922)以及相应补丁: 20160922:OpenSSL Security Advisory [22 Sep 2016]链接:https://www.openssl.org/news/secadv/20160922.txt请在下列网页下载最新版本: https://www.openssl.org/source/ 下载补丁还不如升级版本 查看本机版本 openssl version 升级步骤: 1、去官网下载最新版本,或wget下.
漏洞修复】 CVE Linux 系统应用漏洞修复笔记
张小三的博客
02-07 6709
根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在。启动完成后查看nginx的版本信息,验证nginx的openssl版本号是否已经升级成功。原本我的nginx中使用的openssl 版本号为:1.0.2s。结束后在此查询openssl的版本号,验证是否升级成功。目录,使用以下命令下载最新版的安装包到此目录下。将以下的内容替换 nginx 的443配置中的。进入nginx的安装目录下的。目录下启动nginx。
Openssl漏洞修复
hard_refuse_back的博客
12-14 2269
OpenSSL漏洞修复脚本 漏洞描述 OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务 修复方案 将OpenSSL修复至安全版本 安全版本 OpenSSL 1.1.1i OpenSSL 1.0.2x 1.背景 由于多台主机存...
linux OpenSSL-1.1.1m升级最新.docx
01-16
因此,升级 OpenSSL 到最新版本是非常必要的。下面将详细介绍如何升级 OpenSSL 到最新版本 1.1.1m。 为什么需要升级 OpenSSL? 随着时间的推移,新的安全漏洞不断被发现,老版本的 OpenSSL 存在一些已知的安全漏洞...
opensslopenssl-devel离线rpm安装包.zip_OPENSSL 库_openssl_openssl-deve
09-21
因此,在可能的情况下,应该尽量使用最新版本OpenSSL,以获得最佳的安全性和性能。 此外,理解RPM系统也很重要。RPM是一种用于管理和维护Linux系统软件包的标准,它允许用户轻松地安装、升级、查询、卸载软件,...
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
openssl-1.1.1t版本安装包
最新发布
11-01
3. **新功能支持**:更新至最新版本能获取到新的加密算法和技术,提高系统的兼容性和功能性。 4. **合规性**:许多安全标准和最佳实践都要求使用最新的安全组件,升级OpenSSL有助于满足这些要求。 **二、如何安装...
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
openssl漏洞检查修复
thinker
09-14 3042
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。链接:https://www.openssl.org/news/secadv/20160922.txt。链接:https://www.openssl.org/news/secadv/20160922.txt。重点:避免使用IDEA、DES和3DES算法。主要是修改conf文件。
openssl升级解决系统安全漏洞问题
snk_xiaoqiang的博客
06-19 4996
     最近用绿盟安全漏洞扫描软件"远程安全评估系统"扫描的产品系统的安全漏洞发现有很多openssl漏洞问题,根据详细描述和推荐解决办法,发现centos6.5自带的openssl版本过低,有很多漏洞,需要进行升级。原openssl版本为:[root@localhost ~]# openssl versionOpenSSL 1.0.1e-fips 11 Feb 20131、首先去openssl...
SSL安全漏洞解决方案
热门推荐
公子公子的博客
08-21 1万+
文章目录前言一、 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)1.详细描述2.解决办法二、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)1.详细描述2.解决办法三、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)1.详细描述2.解决办法总结 前言 上周公司对公网系统进行了安全检查,扫描出了SSL相关漏洞,主要有SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CV
OpenSSL补丁安装(一)
stone_bk的博客
03-23 5321
一、Centos系统 升级前准备 软件包准备: openssh-7.5p1.tar.gz下载 大家可以到openssh官网下载(https://www.openssh.com/),左列找到For other OS's---->linux---->Download---->http mirrors,里面的地址可以任选一个 附上地址: https://openbsd...
OpenSSL 代码问题漏洞(CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 3816
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
SSL/TLS类安全漏洞及SLB安全漏洞问题
qq_38254635的博客
12-27 1万+
SSL/TLS类安全漏洞及SLB安全漏洞问题
关于在 java 8 下开启 TLS_RSA_WITH_3DES_EDE_CBC_SHA 支持 xp ie8 tls1.0 的正常访问
weixin_30386713的博客
07-04 2556
最近为 aioserver 增加了ssl支持。 在 myssl.com 上测试了一下,关于【客户端握手模拟】发现 ie8 xp tls1.0 这一项提示:握手失败(服务器断开连接) 我又试了一下 baidu.com 和 taobao.com, 关于 ie8 xp tls1.0,可以握手成功,使用的【加密套件】: TLS_RSA_WITH_3DES_EDE_CBC_SHA ...
OpenSSL "heartbleed" 的安全漏洞紧急修复方案[CentOS 6.x][Red Hat 6.x][附官网安全补丁下载]
胡杨林
04-09 3996
1. ga 在 heartbleed 的官网上有关于 CVE-2014-0160 漏洞的详细信息,这是关于 OpenSSL 的信息泄漏漏洞导致的安全问题。改 Heartbleed bug 可以让互联网的任何人读取系统保护内存,这种妥协密钥用于识别服务提供者和加密流量,用户名和密码的和实际的内容。该漏洞允许攻击者窃听通讯,并通过模拟服务提供者和用户来直接从服务提供者盗取数据。
解释一下openssl 0-length漏洞
09-04
### 回答1: OpenSSL 0-length漏洞是一种安全漏洞,它允许攻击者在OpenSSL中提取服务器上的敏感信息。它是由OpenSSL缓冲区溢出漏洞引起的,允许攻击者在服务器上执行任意代码,从而窃取服务器上的敏感信息。 ### 回答2: OpenSSL 0-length漏洞,也称为Padding Oracle漏洞,是指在OpenSSL库中存在一种加密和解密数据时的安全漏洞。 此漏洞的主要原因是在使用OpenSSL库进行加密操作时,没有正确处理明文长度为0的情况。攻击者可以通过发送经过修改的加密数据包来利用该漏洞,从而获取关键信息,如会话密钥或加密内容。 具体来说,该漏洞利用了CBC(Cipher Block Chaining)加密模式和PKCS7填充方式的特性。在CBC模式下,解密时需要进行解密块和前一块数据的异或操作,并将解密结果作为下一块数据解密的初始化向量。而PKCS7填充方式是在加密明文前,使其长度与块大小相等。 攻击者利用OpenSSL没有正确处理明文为0长度的情况,在解密时会将该块数据的密文和前一块数据进行异或操作,导致解密结果明文为前一块数据的密文。通过构造特定的加密数据包并重复利用可以逐步获得解密过程中的关键信息。 这种漏洞的危害性在于攻击者可以利用Padding Oracle攻击逐步有效地解密加密数据,最终获取敏感信息。为了解决此漏洞OpenSSL在修补程序中进行了相应的改进,特别是在处理明文长度为0的情况下增加了额外步骤来防止攻击。同时,使用者也需要尽快更新软件版本以修复该漏洞。 ### 回答3: OpenSSL是一个开源的加密库,广泛运用于许多网络应用中。而“openssl 0-length漏洞”是指OpenSSL在某个特定版本中存在的一个安全漏洞。 该漏洞是由一个错误的实现导致的,攻击者可以通过发送恶意的SSL/TLS握手请求来利用该漏洞。在正常的SSL握手过程中,客户端和服务器会交换加密方式、密钥等信息,以确保双方的通信安全。然而,在受影响的OpenSSL版本中,攻击者可以发送一个特殊的0字节的ClientHello请求,该请求会触发服务器的恶意行为。 服务器在接收到恶意请求后,将会发生一个错误的内存操作,导致OpenSSL内部数据结构被破坏。攻击者可以利用这个漏洞来绕过加密措施,获取服务器的敏感信息,或者进行其他恶意操作。 漏洞的影响范围比较广泛,包括恶意代码注入、数据泄露、恶意解密等。攻击者可以利用这个漏洞对受影响的服务器进行远程攻击,因此这是一个严重的安全隐患。 为了修复这个漏洞OpenSSL开发团队发布了相应的安全补丁,并呼吁用户尽快升级到最新版本。用户应该定期关注OpenSSL的安全更新,并及时应用这些补丁以保证服务器的安全性。 总的来说,openssl 0-length漏洞是指OpenSSL特定版本中存在的一个安全漏洞,攻击者可以通过发送恶意的SSL握手请求来利用这个漏洞。用户需要关注OpenSSL的安全更新,并及时应用补丁来修复此漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值