1. 背景
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
1.1 影响版本
OpenSSL 1.1.0前版本,但网上也有高版本存在此漏洞,还是需要查看web中间件conf配置判断,或使用nmap协商密码进行发现。
1.2 修复风险
修复后此漏洞后,服务端将不使用DES/3DES加密方式,IE6、IE7、Windows XP操作系统将无法访问站点,需业务方自行判断是否进行修复。
2. 升级 openssl
2.1 当前版本
[root@random-test ~]# openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
2.2 选择更新版本
image-20221118102933656.png
# 01. 下载
mkdir -p /server/tools
cd /server/tools
wget --no-check-certificate https://www.openssl.org/source/old/1.1.1/openssl-1.1.1q.tar.gz
2.3 备份原文件
mv /usr/bin/openssl{,.bak}
#mv /usr/include/openssl{,.bak}
2.4 升级
# 01. 解压
tar xf openssl-1.1.1q.tar.gz
cd openssl-1.1.1q/
mkdir -p /app/tools
# 02. 编译安装
./config --prefix=/app/tools/openssl
make && make install
# 03. 替换原openssl
ln -s /app/tools/openssl/bin/openssl /usr/bin/openssl
#ln -s /app/tools/openssl/include/openssl /usr/include/openssl
# 04. 修改动态链接库
echo "/app/tools/openssl/lib" >> /etc/ld.so.conf
ldconfig
2.5 查看版本
openssl version -a
openssl version
网友评论