el7升级openssh和openssl修复漏洞

于 2024-08-08 11:12:19 发布
阅读量735 收藏 17
点赞数 17
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nanhai_happy/article/details/140958615
版权

1、openssh和openssl安全漏洞

 OpenSSH 命令注入漏洞(CVE-2020-15778)
 OpenSSH 用户枚举漏洞(CVE-2018-15919)
 OpenSSH 安全漏洞(CVE-2017-15906)
  OpenSSL 安全漏洞(CVE-2018-0732)
 OpenSSL 安全漏洞(CVE-2017-3735)
 OpenSSL 信息泄露漏洞(CVE-2017-3736)
 OpenSSL 安全限制绕过漏洞(CVE-2017-3737)
 OpenSSL 旁道攻击信息泄露漏洞(CVE-2018-0734)
 OpenSSL 安全漏洞(CVE-2019-1547)
 OpenSSL 缓冲区错误漏洞(CVE-2019-1551)
 OpenSSL rsaz_1024_mul_avx2溢出信息泄露漏洞(CVE-2017-3738)
 OpenSSL旁道攻击信息泄露漏洞(CVE-2018-0737)
 OpenSSL 信息泄露漏洞(CVE-2018-5407)

2、openssl

2.1、下载

下载网址如下

https://openssl-library.org/source/old/index.html

下载1.1.1w的版本

wget https://github.com/openssl/openssl/releases/download/OpenSSL_1_1_1w/openssl-1.1.1w.tar.gz

2.2、编译 openssl rpm包

2.2.1 安装rpmbuild等依赖包

yum install autoconf doxygen libtool libuuid-devel openldap-devel lua-devel libxml2-devel expat-devel db4-devel postgresql-devel sqlite-devel unixODBC-devel nss-devel apr-util-devel gcc make rpm-build perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker perl-WWW-Curl libXt-devel imake gtk2-devel krb5-devel pam-devel

2.2.2 准备rpmbuild构建目录

mkdir -p ~/rpmbuild/{BUILD,BUILDROOT,RPMS,SOURCES,SPECS,SRPMS}
  • BUILD: 用于存放编译过程中生成的文件
  • BUILDROOT:用于存放编译后的根文件系统
  • RPMS:用于存放编译后的 RPM 包
  • SOURCES:用于存放源代码包
  • SPECS:用于存放 RPM 规范文件
  • SRPMS:用于存放源 RPM 包

2.2.4 编译openssl rpm包

cp openssl-1.1.1w.tar.gz  ~/rpmbuild/SOURCES

openssl的spec文件需要自己写,默认不带

cd  ~/rpmbuild/SPECS/

vim openssl.spec

%define version 1.1.1w
%define release 17
%define sover 1.1

Summary: OpenSSL 1.1.1w for CentOS
Name: openssl
Version: %{?version}%{!?version:1.1.1w}
Release: %{release}%{?dist}
Obsoletes: %{name} <= %{version}
Provides: %{name} = %{version}
URL: https://www.openssl.org/
License: GPLv2+

Source: https://www.openssl.org/source/%{name}-%{version}.tar.gz

BuildRequires: make gcc perl perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker perl-WWW-Curl
BuildRoot: %{_tmppath}/%{name}-%{version}-%{release}-root
%global openssldir /usr/local/openssl

%description
https://github.com/philyuchkoff/openssl-RPM-Builder
OpenSSL RPM for version 1.1.1w on CentOS

%package devel
Summary: Development files for programs which will use the openssl library
Group: Development/Libraries
Requires: %{name} = %{version}-%{release}

%description devel
OpenSSL RPM for version 1.1.1w on CentOS (development package)

%package        libs
Summary:        OpenSSL shared libraries
License:        OpenSSL
Group:          System Environment/Libraries
Obsoletes:      openssl-libs < %{version}-%{release}
Provides:       openssl-libs = %{version}-%{release}

%description libs
This package contains the shared libraries that are used by applications
linked against OpenSSL.

%prep
%setup -q

%build
./config --prefix=%{openssldir} --openssldir=%{openssldir}

make -j$(nproc)

%install
[ "%{buildroot}" != "/" ] && %{__rm} -rf %{buildroot}
%make_install

mkdir -p %{buildroot}%{_bindir}
mkdir -p %{buildroot}%{_libdir}
ln -sf %{openssldir}/lib/libssl.so.1.1 %{buildroot}%{_libdir}
ln -sf %{openssldir}/lib/libcrypto.so.1.1 %{buildroot}%{_libdir}
ln -sf %{openssldir}/bin/openssl %{buildroot}%{_bindir}

%clean
[ "%{buildroot}" != "/" ] && %{__rm} -rf %{buildroot}

%files
%{openssldir}
%defattr(-,root,root)
/usr/bin/openssl
%{_libdir}/libcrypto.so.%{sover}*
%{_libdir}/libssl.so.%{sover}*

%files devel
%{openssldir}/include/*
%defattr(-,root,root)

%files libs
%defattr(-,root,root,-)
%{_libdir}/libcrypto.so.%{sover}*
%{_libdir}/libssl.so.%{sover}*

%post -p /sbin/ldconfig
%postun -p /sbin/ldconfig

执行编译

rpmbuild -D "version 1.1.1w" -ba openssl.spec

参数解释:

  • ba 构建源代码rpm包和二进制rpm包
  • bb 只构建二进制rpm包
  • bs 只构建源代码rpm包
  • bp 执行至%prep阶段(解压源并应用补丁)
  • bc 执行至%build阶段(%prep,然后编译)
  • bi 执行至%install阶段(%prep,%build,然后安装)
  • bl 验证%files部分,查看文件是否存在

编译完成后查看rpm包:

ls -hl ../RPMS/aarch64/openssl-*
-rw-r--r-- 1 root root 6.1M Aug  7 11:10 ../RPMS/aarch64/openssl-1.1.1w-17.el7.aarch64.rpm
-rw-r--r-- 1 root root 118K Aug  7 11:10 ../RPMS/aarch64/openssl-debuginfo-1.1.1w-17.el7.aarch64.rpm
-rw-r--r-- 1 root root 230K Aug  7 11:10 ../RPMS/aarch64/openssl-devel-1.1.1w-17.el7.aarch64.rpm
-rw-r--r-- 1 root root 2.4K Aug  7 11:10 ../RPMS/aarch64/openssl-libs-1.1.1w-17.el7.aarch64.rpm

2.2.5 安装openssl rpm

卸载后再安装

cd ../RPMS/aarch64
rpm -e openssl-1.0.2k --nodeps

rpm -ivh openssl-1.1.1w-17.el7.aarch64.rpm --nodeps --force
rpm -ivh openssl-devel-1.1.1w-17.el7.aarch64.rpm

3.3、openssh

3.3.1 下载

下载网址如下

https://src.fedoraproject.org/repo/pkgs/openssh/

下载目前的最新版

wget https://src.fedoraproject.org/repo/pkgs/openssh/openssh-9.8p1.tar.gz

openssh编译的时候需要用到x11-ssh-askpass,下载链接如下

wget https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz

3.3.2 编译openssh rpm包

cp openssh-9.8p1.tar.gz x11-ssh-askpass-1.2.4.1.tar.gz  ~/rpmbuild/SOURCES
tar -xvf openssh-9.8p1.tar.gz
cp openssh-9.8p1/contrib/redhat/openssh.spec ~/rpmbuild/SPECS/
cd ~/rpmbuild/SPECS/

修改openssh.spec,添加openssl支持

%configure \
        --sysconfdir=%{_sysconfdir}/ssh \
        --libexecdir=%{_libexecdir}/openssh \
        --datadir=%{_datadir}/openssh \
        --with-default-path=/usr/local/bin:/bin:/usr/bin \
        --with-superuser-path=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin \
        --with-privsep-path=%{_var}/empty/sshd \
        --mandir=%{_mandir} \
        --with-mantype=man \
        --disable-strip \
        --with-ssl-dir=/usr/local/openssl \
%if %{scard}
        --with-smartcard \
%endif
%if %{rescue}
        --without-pam \
%else
        --with-pam \
%endif
%if %{kerberos5}
         --with-kerberos5=$K5DIR \
%endif

编译

rpmbuild -ba openssh.spec

编译完成后查看rpm包:

ls -hl ../RPMS/aarch64/openssh*
-rw-r--r-- 1 root root 566K Aug  8 10:53 ../RPMS/aarch64/openssh-9.8p1-1.el7.aarch64.rpm
-rw-r--r-- 1 root root  44K Aug  8 10:53 ../RPMS/aarch64/openssh-askpass-9.8p1-1.el7.aarch64.rpm
-rw-r--r-- 1 root root  26K Aug  8 10:53 ../RPMS/aarch64/openssh-askpass-gnome-9.8p1-1.el7.aarch64.rpm
-rw-r--r-- 1 root root 590K Aug  8 10:53 ../RPMS/aarch64/openssh-clients-9.8p1-1.el7.aarch64.rpm
-rw-r--r-- 1 root root 3.4M Aug  8 10:53 ../RPMS/aarch64/openssh-debuginfo-9.8p1-1.el7.aarch64.rpm
-rw-r--r-- 1 root root 493K Aug  8 10:53 ../RPMS/aarch64/openssh-server-9.8p1-1.el7.aarch64.rpm
(nova-ssh)[root@controller1 SPECS]#

3.3.3 安装ssh rpm

安装

cd ../RPMS/aarch64
rpm -Uvh openssh-*.rpm

3.3.4、启动服务

systemctl start sshd

4.问题记录

4.1 Can’t locate IPC/Cmd.pm

在编译openssl 3.3.1的时候出现如下错误:

 ./config --prefix=/usr/local/openssl-3.3.1 --openssldir=/usr/lo
Can't locate IPC/Cmd.pm in @INC (@INC contains: /tmp/openssl-3.3.1/util/perl /usr/local/lib64/perl5 /usr/lo/perl/Text-Template-1.56/lib) at /tmp/openssl-3.3.1/util/perl/OpenSSL/config.pm line 19.
BEGIN failed--compilation aborted at /tmp/openssl-3.3.1/util/perl/OpenSSL/config.pm line 19.
Compilation failed in require at /tmp/openssl-3.3.1/Configure line 23.
BEGIN failed--compilation aborted at /tmp/openssl-3.3.1/Configure line 23.

缺少依赖包

yum install perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker perl-WWW-Curl

4.2 /lib64/libssl.so.10: version ‘libssl.so.10’ not found and /lib64/libcrypto.so.10: version ‘libcrypto.so.10’ not found

安装openssl-libs-1.1.1w-17.el7.aarch64.rpm升级包后,执行yum命令出现如下 问题

There was a problem importing one of the Python modules
required to run yum. The error leading to this problem was:

   /lib64/libcrypto.so.10: version `libcrypto.so.10' not found (required by /usr/lib64/python2.7/lib-dynload/_hashlib.so)

Please install a package which provides this module, or
verify that the module is installed correctly.

It's possible that the above module doesn't match the
current version of Python, which is:
2.7.5 (default, Aug  7 2019, 00:57:09)
[GCC 4.8.5 20150623 (Red Hat 4.8.5-39)]

If you cannot solve this problem yourself, please go to
the yum faq at:
  http://yum.baseurl.org/wiki/Faq

通过建立新库的链接无法解决,原因是yum等依赖旧的的libssl和libcrypto库,拷贝旧库进去,重新链接下解决问题如下:

ln -sf libssl.so.1.0.2k libssl.so.10
ln -sf libcrypto.so.1.0.2k libcrypto.so.10

或者不安装openssl-libs-1.1.1w-17.el7.aarch64.rpm,保留原来的库

5.参考文献

  • https://adbin.github.io/linux/centos/7/openssh/rpm/2019/12/06/centos7.6-build-openssh8.1p1-rpm.html
  • https://www.lemonsys.cn/tech_631/
  • https://www.superheaoz.top/2023/05/34807/
  • https://blog.mdzz.wang/2024/03/07/081.openssl_rpm_build/
  • https://blog.csdn.net/lh1121___/article/details/140158932
  • https://blog.csdn.net/huhahuhahu/article/details/111242945
  • https://www.netimed.cn/project-1/doc-430/
  • https://blog.csdn.net/turnaroundfor/article/details/86076214
  • https://developer.aliyun.com/article/1100562
牛角上的男孩
关注
centos7.9的opensshopenssl升级包(openssh-9.4p1和openssl-1.1.1w)
03-02
首先备份原有库文件在进行卸载升级 cp /usr/bin/openssl /usr/bin/openssl-1.0.2k cp /usr/lib64/libcrypto.so....卸载opensshopenssl,包括openssl-libs 然后解压安装 如有lib库文件异常,使用备份的库文件直接恢复
Linux安装openssl出现Can‘t locate IPC/Cmd.pm in,error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1
持续学习,持续更新
01-08 1万+
1. 缺少IPC/Cmd.pm 模块。Can't locate IPC/Cmd.pm in @INC (@INC contains: /opt/common/openssl-3.0.1/util/perl 2.安装错误:OpenSSL: error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version
openssl安全漏洞解决方案
嵌嵌的爱
12-29 4661
包括opensslopenssh升级,报错,安全漏洞解决等相关内容
OpenSSH命令注入漏洞(CVE-2020-15778)
热门推荐
qq_42947816的博客
02-09 2万+
一般在特定环境下利用,比如在知道SSH账户密码后,但禁用SSH登陆或SSH连接被阻止,服务器允许使用scp传文件的情况下,可对其进行命令注入,所以如果攻击者不知道ssh账密,此漏洞无法利用。
OpenSSL 代码问题漏洞(CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 3964
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
OpenSSL命令注入漏洞 (CVE-2022-1292)
m0_55641973的博客
06-13 5667
1. c_rehash是openssl中的一个用perl编写的脚本工具,c_rehash 为文件创建一个符号连接,并将此符号连接的名称设为文件的。语法:c_rehash [-old] [-h] [-n] [-v] [ directory... ]openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件.-v:打印移除的老式连接和新创建的连接的信息。-old:使用1.0.0版本之前的老式hash(MD5,而不是SHA-1)去生成连接。,则默认的目录由安装时的信息指定。
centos7离线升级openssh9.4包含升级脚本
09-15
OpenSSH的每次更新都会修复已知的安全漏洞,提高加密算法的强度,以及改进性能和用户体验。因此,及时将CentOS7中的OpenSSH从旧版本升级到9.4是非常必要的。 离线升级通常在没有互联网连接或者网络带宽有限的情况下...
OpenSSH-9.8p1-OpenSSL-3.0.14-el7-x86-64
最新发布
07-02
漏洞名称:OpenSSH存在远程代码执行漏洞(CVE-2024-6387) 漏洞危害:成功利用该漏洞可导致攻击者获得远程root shell最高权限从而执行任意代码。 影响版本:8.5p1 <= OpenSSH 安全版本:OpenSSH >= 9.8p1
openssh9.0和openssl1.1.1k的rpm升级
04-20
本文将深入探讨如何在CentOS x86系统上对OpenSSH 9.0和OpenSSL 1.1.1k进行升级,以及涉及到的相关知识点。 首先,OpenSSH是Secure Shell的开源实现,用于提供安全的远程登录和其他网络服务。它包括ssh客户端和...
openssh7.8p1升级
05-24
当涉及到"openssh7.8p1升级包"时,这意味着针对OpenSSH的一个更新版本,旨在修复可能存在的漏洞并提升系统安全性。 OpenSSH 7.8p1是一个重要的版本更新,它包含了多项改进和修复。在这个版本中,开发团队可能会解决...
适用于CentOS7.*和redhat el7系列的openssh9.7P1,x86架构rpm包
05-26
本人2024年5月26日制作的openssh9.7P1的rpm包,适用于CentOS7.*系列和redhat el7系列,el7 包含以下文件: openssh-9.7p1-1.el7.x86_64.rpm openssh-clients-9.7p1-1.el7.x86_64.rpm openssh-server-9.7p1-1.el7.x86...
openssh-9.5p1-openssl-1.1.1w
11-01
openssh-9.5p1-1.el7.x86_64.rpm openssh-clients-9.5p1-1.el7.x86_64.rpm openssh-debuginfo-9.5p1-1.el7.x86_64.rpm openssh-server-9.5p1-1.el7.x86_64.rpm openssl-1.1.1w-1.el7.centos.x86_64.rpm openssl-...
openssl+openssh离线安装包
06-04
openssl+openssh离线升级包, openssl 1.0.2s, openssh-8.0, centos7.2
openssh8.6p1-1.el7.x86_64.zip
05-20
基于centos7 制作的 openssh8.6p1 rpm包及openssl 1.1.1k rpm包 openssh-8.6p1-1.el7.x86_64.rpm openssh_8.6p1_el7_rpm.tar openssh-askpass-8.6p1-1.el7.x86_64.rpm openssh-askpass-gnome-8.6p1-1.el7.x86_64.rpm...
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解
Al345__的博客
06-19 2291
OpenSSL(英语:Open Secure Sockets Layer。开放式安全套接层协议)在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。
Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)
qq_53058639的博客
02-01 1745
centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778)OpenSSL3.0OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击,攻击者可在未授权的情况下通过构造特定证书来触发无限循环,执行拒绝服务攻击,最终使服务器无法提供服务。
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解(小白可懂,简单详细)
wangluoanquan111的博客
04-09 1774
靶机:centos7 192.168.139.136攻击机:kali 192.168.139.129确保两台测试机网络能通从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
OpenSSL 3.x爆出漏洞,如何妥善应对?
AKAMAI_CHINA的博客
12-11 1071
在向安全团队告知即将发布的修复程序相关信息时,OpenSSL团队用了一种有趣的方法。这则公告为防御者留出了足够的准备时间,以便找出需要打补丁的关键系统。本文介绍的方法可以帮助大家找到可能受到影响的应用程序,并第一时间安装补丁以缓解风险。安全方面总会有层出不穷的新故事和事故,欢迎关注Akamai,第一时间了解新出现的安全威胁以及应对和缓解措施。
centos7.9 回退opensshopenssl版本
06-11
在 CentOS 7.9 中,您可以使用以下命令回退 OpenSSHOpenSSL 版本: 1. 回退 OpenSSH - 查看当前安装的 OpenSSH 版本:`rpm -qa | grep openssh` - 卸载当前版本的 OpenSSH:`yum remove -y openssh-server openssh-clients` - 下载旧版本的 OpenSSH:可以通过从 CentOS 官网下载旧版本的 OpenSSH,也可以使用 yumdownloader 命令下载。例如,如果要下载 OpenSSH 7.6p1 版本,可以使用以下命令:`yumdownloader --enablerepo=base --releasever=7.6 openssh-server openssh-clients` - 安装旧版本的 OpenSSH:`yum install openssh-server-7.6p1-2.el7.x86_64.rpm openssh-clients-7.6p1-2.el7.x86_64.rpm` - 启动 OpenSSH:`systemctl start sshd` 2. 回退 OpenSSL - 查看当前安装的 OpenSSL 版本:`rpm -qa | grep openssl` - 卸载当前版本的 OpenSSL:`yum remove -y openssl openssl-libs` - 下载旧版本的 OpenSSL:可以通过从 CentOS 官网下载旧版本的 OpenSSL,也可以使用 yumdownloader 命令下载。例如,如果要下载 OpenSSL 1.0.2k 版本,可以使用以下命令:`yumdownloader --enablerepo=base --releasever=7.4 openssl openssl-libs openssl-devel` - 安装旧版本的 OpenSSL:`yum install openssl-1.0.2k-19.el7.x86_64.rpm openssl-libs-1.0.2k-19.el7.x86_64.rpm openssl-devel-1.0.2k-19.el7.x86_64.rpm` - 配置环境变量:`export LD_LIBRARY_PATH=/usr/local/ssl/lib` - 启动 OpenSSH:`systemctl start sshd` 注意:在回退 OpenSSL 版本时,可能会对其他软件产生影响,因此需要谨慎操作。 希望这些步骤能够帮助您成功回退 OpenSSHOpenSSL 版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值