项目初衷
因为Openssl1.0.2版本,官方已不再维护开源版本。Openssl-1.0.2u为最新的1.0.2正式发布的开源版本。
但是,Openssl-1.0.2u后续又爆出了一些漏洞,官方又不再维护,如何解决这些漏洞呢?
1. 大版本升级,升级到1.1.1系列,或者3.x.x版本。
2. 将漏洞修复代码合入到1.0.2u,继续使用1.0.2u。
考虑到项目中使用openssl大版本升级影响较大,项目中依赖openssl的原有模块都需要修改并重新编译。所以,本文重点介绍第二种解决方案。
Openssl-1.0.2u受影响漏洞汇总
数据来源: https://www.openssl.org/news/vulnerabilities.html
作者github 项目地址: https://github.com/fdl66/openssl-1.0.2u-fix-cve
--------2022--------
CVE-2022-1292 (OpenSSL advisory) [Moderate severity] 03 May 2022:
Fixed in OpenSSL 1.0.2ze (git commit) (Affected 1.0.2-1.0.2zd)
本仓库已修复: https://github.com/fdl66/openssl-1.0.2u-fix-cve/pull/9
CVE-2022-0778 (OpenSSL advisory) [High severity] 15 March 2022:
Fixed in OpenSSL 1.0.2zd (git commit) (Affected 1.0.2-1.0.2zc)
本仓库已修复