openssl 升级到OpenSSL 1.0.1g 修复HEARTBEATS漏洞

最新推荐文章于 2021-02-26 23:11:12 发布
最新推荐文章于 2021-02-26 23:11:12 发布
阅读量500 收藏
点赞数
文章标签: 运维 开发工具
原文链接:https://yq.aliyun.com/articles/474941
版权

CentOS 6.4 64位

查看当前的ssl版本

wKioL1NHlCKDs-XNAABtnN5qlWg241.jpg

1
2
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL  1.0 . 0 -fips  29  Mar  2010


升级openssl

升级前请关闭selinux

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
yum install zlib zlib-devel krb5-devel.x86_64 -y
wget http: //www.openssl.org/source/openssl-1.0.1g.tar.gz
tar -xzf openssl- 1.0 .1g.tar.gz
cd openssl- 1.0 .1g
./config --prefix=/usr/local/ssl shared zlib- dynamic  enable-camellia -DOPENSSL_NO_HEARTBEATS  #添加 -DOPENSSL_NO_HEARTBEATS 选项
make
make install
openssl version
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/ include /openssl /usr/ include /opensslold
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/ include /openssl/ /usr/ include /openssl
echo  "/usr/local/ssl/lib/"  >> /etc/ld.so.conf
ldconfig -v|grep ssl
openssl version

升级后截图

wKioL1NHlQaTQUT6AAFuF4hymj0125.jpg

1
openssl version -a

wKiom1NJ5-qSdAZOAAJohlHNn50204.jpg


为什么升级openssh,因为用xshell或者SecureCRT等终端连接服务器是用ssh,现在查看ssh所用openssl所用的版本还是这样的

1
2
[root@localhost ~]# ssh -V
OpenSSH_5.3p1, OpenSSL  1.0 . 0 -fips  29  Mar  2010

验证:

# rpm -qa openssl
openssl-1.0.1e-16.el6_5.14.x86_64

# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

说明漏洞已经修复


升级 openssh  (编译时候请按文章最下面,添加--with-kerberos5=/usr/lib64/libkrb5.so 参数编译,不然会出现下面的问题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
wget http: //mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-6.6p1.tar.gz
yum install pam*
tar -xzf openssh- 6 .6p1.tar.gz
cd openssh- 6 .6p1
./configure --prefix=/usr --sysconfdir=/etc/ssh -- with -pam -- with -zlib -- with -ssl-dir=/usr/local/ssl -- with -md5-passwords --mandir=/usr/share/man
make
make install
                                     
ssh -V
OpenSSH_6.6p1, OpenSSL  1.0 .1g  7  Apr  2014
                                     
service sshd restart
停止 sshd:                                                [确定]
正在启动 sshd:                                            [确定]

升级完成后打开新的终端连接

wKioL1NHlnvSWbDuAABtcceg0LI320.jpg

升级完成

当执行service sshd restart 的时候有错误提示

wKioL1NHmiXCPdA1AAFDC0JjI4s175.jpg

vim /etc/ssh/sshd_config  把81和83行注释

wKiom1NHmnXBtZwPAAC9Kn_mGC8279.jpg

再执行就没问题了

1
2
3
service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]



附:

Unsupported option GSSAPIAuthentication  和 Unsupported option GSSAPICleanupCredentials

这两个认证机制的解决方法:

1
2
3
4
5
service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd: /etc/ssh/sshd_config line  81 : Unsupported option GSSAPIAuthentication
/etc/ssh/sshd_config line  83 : Unsupported option GSSAPICleanupCredentials
                                                            [  OK  ]

在编译openssh-6.6p1的时候把kerberos5的选项指定,即添加选项 --with-kerberos5=/usr/lib64/libkrb5.so 就不会出现问题

1
[root@localhost openssh- 6 .6p1]# ./configure --prefix=/usr --sysconfdir=/etc/ssh -- with -pam -- with -zlib -- with -ssl-dir=/usr/local/ssl -- with -md5-passwords --mandir=/usr/share/man -- with -kerberos5=/usr/lib64/libkrb5.so

下面是sshd_config的配置文件,认证不受影响的,重启sshd服务也没问题

vim /etc/ssh/sshd_config

wKioL1NHta3R6jUjAAFn0jZBtQY308.jpg


上述的代码

升级前关闭selinux

升级ssl,ssh

yum install zlib zlib-devel -y

yum install krb5-devel.x86_64 -y

wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz

tar -xzf openssl-1.0.1g.tar.gz

cd openssl-1.0.1g

./config --prefix=/usr/local/ssl shared zlib-dynamic enable-camellia -DOPENSSL_NO_HEARTBEATS 

make

make install

openssl version

mv /usr/bin/openssl /usr/bin/openssl.old

mv /usr/include/openssl /usr/include/opensslold

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/ssl/include/openssl/ /usr/include/openssl

echo "/usr/local/ssl/lib/" >>/etc/ld.so.conf

ldconfig -v|grep ssl

openssl version

cd ..

wget http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-6.6p1.tar.gz

yum install pam* -y

tar -xzf openssh-6.6p1.tar.gz

cd openssh-6.6p1

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-ssl-dir=/usr/local/ssl --with-md5-passwords  --mandir=/usr/share/man --with-kerberos5=/usr/lib64/libkrb5.so 

make

make install

ssh -V

cd ..











本文转自 bbotte 51CTO博客,原文链接:http://blog.51cto.com/bbotte/1394174,如需转载请自行联系原作者
weixin_34258782
关注
(CVE-2014-0160) OpenSSL 心脏滴血漏洞
weixin_45253622的博客
05-21 3495
Heartbleed 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过滤,即可以读取的数据比应该允
漏洞分析】OpenSSL HeartBleed漏洞分析及POC代码
Walter的专栏
06-12 4348
CVE-2014-0160漏洞背景 2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏
openssl-1.0.1g-1.x86_64.rpm
01-29
OpenSSL "heartbleed" 的安全漏洞/升级Openssl1.0.1g版本
openssl 升级1.0.1g
weixin_33700350的博客
04-09 544
为什么80%的码农都做不了架构师?>>> ...
opensslopenssl 升级1.0.1g
weixin_34008933的博客
04-09 280
为什么80%的码农都做不了架构师?>>> ...
openssl1.0.1g
04-09
编译好的dll,代码是由论坛里DelisPhi提供的,1.0.1g版本,解决了漏洞后的版本
OpenSSL“心血”漏洞检测及修复指南
06-24
1. **升级OpenSSL版本**:将OpenSSL升级到不受影响的版本,如1.0.1g或更高版本。可以通过以下命令进行升级: - 在Debian/Ubuntu系统,可以使用`apt-get install openssl`命令。 - 对于Red Hat/CentOS系统,可以...
mysql 升级 openssl_升级openssl
weixin_35414260的博客
01-20 1025
升级openssl依赖openssl的软件,如果是静态编译openssl,那么需要重新编译软件,如果是利用openssl的so动态库,那么只需要替换一下so文件并重启软件即可openssh也依赖openssl参考文章http://www.111cn.net/sys/CentOS/61326.htmhttp://bguncle.blog.51cto.com/3184079/1392870/http:...
OpenSSL漏洞简述与网络检测方法
04-29
1. 升级到不受影响的OpenSSL版本,例如1.0.1g。 2. 如果无法立即停服,可以临时禁用心跳扩展(通过-DOPENSSL_NO_HEARTBEATS参数重新编译OpenSSL)。 3. 重新生成私钥和SSL证书,以确保之前可能被泄露的密钥不再有效...
WIN7 手动编译openssl-1.0.1g
02-14
openssl版本:openssl-1.0.1g 操作系统:WIN7 自己编译stunnel时需要openssl所以自己编译安装,使用时只要把压缩文件解压到C盘根目录下,即可使用,如果需要,则可以将openssl目录修给为带有版本名称目录c:\\openssl-1.0.1g即可
openssl-1.0.1g heartbleed漏洞已经修复
04-09
openssl-1.0.1g 的源码,已经修复了2014-4-8曝光的heartbleed(心脏出血)漏洞
openssl升级1.0.1g
p4w的专栏
09-24 1089
1.安装相关依赖 root10.1.1.100@:~# apt-get install zlib1g zlib1g-dev  2. 下载源码 root10.1.1.100@192.168.37.48:~# wget ftp://ftp.openssl.org/source/openssl-1.0.1g.tar.gz  3. 编译安装 root@10.1.1.100:~# tar 
openssl1.0.1 完美 升级1.0.1g脚本
weixin_34179968的博客
04-22 337
 最近openssl 漏洞搞得互联网 人人自危,前几天弄的更新 一直很忙没来的急更新博文今天更新下博文和脚本。发现好多服务器 的openssl 版本不对(好几台服务器都不对,得赶紧更新新版本)[root@ceshi ~]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Wed Dec 18 19:40:59 UTC 20...
升级openssl1.0.1g
weixin_34072159的博客
04-11 109
先进行支撑包的安装: # yum install -y zlib   openssl升级步骤: 下载最新版本的openssl源码包 # wget ftp://ftp.openssl.org/source/openssl-1.0.1g.tar.gz 安装openssl # tar -xzvf openssl-1.0.1g.tar.gz  # cd openssl-1.0.1g  #...
openssl1.0.1 完美 升级1.0.1g脚本
weixin_33826609的博客
11-07 1268
最近openssl 漏洞搞得互联网 人人自危,前几天弄的更新 一直很忙没来的急更新博文 今天更新下博文和脚本。 发现好多服务器 的openssl 版本不对(好几台服务器都不对,得赶紧更新新版本) 1 2 3 4 5 6 7 8 [root@ceshi ~]# openssl version -a OpenSSL 1.0.1e-fi...
openssl升级后java报错_openssl 升级OpenSSL 1.0.1g 修复HEARTBEATS漏洞
weixin_36168447的博客
02-26 318
http://bbotte.blog.51cto.com/6205307/1394174/CentOS 6.4 64位查看当前的ssl版本 12[root@localhost~]#ssh-VOpenSSH_5.3p1,OpenSSL1.0.0-fips29Mar2010升级openssl升级前请关闭selinux123456789101112131415yuminstallzlib...
openssl升级1.0.1g的过程
MiltonZhong
06-10 898
最近openssl的heartbleed漏洞搞的整个互联网鸡犬不宁,在4月9号早上一上班就检查了公司服务器的安全情况,我们的版本不受影响,这个漏洞也并不影响openssh-server,我们也没有https应用,故安心了。随后在虚机练习了一下openssl升级过程。 [root@slave214 ~]# openssl version -a OpenSSL 1.0.1e-fips 11
关于OpenSSL heartbleed漏洞
plmm111的专栏
04-09 366
近日十分不安生,写篇科普加备忘
修复OpenSSL TLS 漏洞 CVE-2014-0160:升级OpenSSL 1.0.1g
"修复OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160),升级OpenSSL 1.0.1g,并更新OpenSSH和nginx" 在IT安全领域,漏洞管理是至关重要的,尤其是在涉及到关键服务如HTTPS时。OpenSSL是一个广泛应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值