1. Toy模板网首页
  2. > Toy博客

openssl安全漏洞解决方案

9月前 作者:shuai_dudu 分类:Toy博客 阅读(99) 违法举报

这篇具有很好参考价值的文章主要介绍了openssl安全漏洞解决方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

概述

openssl官方会发布最新发现的安全漏洞以及对应的解决方案:可在[https://www.openssl.org/news/newslog.html]查看
处理安全漏洞的方式大致如下:
1、升级版本
2、当前版本打补丁

本项目使用openssl-1.0.1j+openssh7.3p1,截至20221226号,需要解决的高危安全漏洞有:CVE-2022-1292、CVE-2022-2068、CVE-2022-0778、CVE-2021-3712、CVE-2021-41617等,采用升级版本的方式解决。

项目背景

项目使用openssl-1.0.1j + openssh-7.3p1,系统测试时发现当前openssl库和openssh工具具有安全漏洞,需要对其打补丁或者升级操作。
openssl库可能有较多上层应用或库对其依赖,所以版本最好选择相近版本。
在openssl官网上查看版本更新log,得出:
1、1.0.1x版本在16年已经不维护了,所以更新1.0.1x版本方案被排除
2、openssl不同大版本之间差别较大(例如1.x和3.x),因此选择1.1.x来替代1.0.1x更合适。
1.1.1x版本距今一直维护,且最新的1.1.1q解决了上述安全漏洞。

openssh是一个独立的app,直接选择最新版本即可
综上:openssl_1.1.1q + openssh_9.1p1

openssl_1.0.x升级至openssl_1.1.1q

参考buildroot-2022.11/package/libopenssl

buildroot配置

BR2_PACKAGE_OPENSSL=y
BR2_PACKAGE_LIBOPENSSL=y
BR2_PACKAGE_LIBOPENSSL_TARGET_ARCH="linux-mips32"
# BR2_PACKAGE_LIBOPENSSL_BIN is not set
# BR2_PACKAGE_LIBOPENSSL_ENGINES is not set
BR2_PACKAGE_HAS_OPENSSL=y
BR2_PACKAGE_PROVIDES_OPENSSL="libopenssl"
BR2_PACKAGE_PROVIDES_HOST_OPENSSL="host-libopenssl"
BR2_PACKAGE_LIBOPENSSL_ENABLE_SEED=y

hostapd/wpa_supplicant编译报错

buildroot整编时发现升级openssl后,以前的hostapd和wpa_supplicant模块编译出错
原因:openssl未打开如下配置,导致相关接口未找到,出现链接错误

1153 BR2_PACKAGE_LIBOPENSSL_ENABLE_DES=y
1154 BR2_PACKAGE_LIBOPENSSL_ENABLE_MD4=y
1155 BR2_PACKAGE_LIBOPENSSL_ENABLE_MD2=y
1156 BR2_PACKAGE_LIBOPENSSL_ENABLE_RC4=y
1157 BR2_PACKAGE_LIBOPENSSL_ENABLE_BLAKE2=y
1158 BR2_PACKAGE_LIBOPENSSL_ENABLE_RMD160=y
1159 BR2_PACKAGE_LIBOPENSSL_ENABLE_WHIRLPOOL=y
1160 BR2_PACKAGE_LIBOPENSSL_ENABLE_SSL=y
1161 BR2_PACKAGE_LIBOPENSSL_ENABLE_SSL2=y
1162 BR2_PACKAGE_LIBOPENSSL_ENABLE_WEAK_SSL=y
1163 BR2_PACKAGE_LIBOPENSSL_ENABLE_PSK=y
1164 BR2_PACKAGE_LIBOPENSSL_DYNAMIC_ENGINE=y
1165 BR2_PACKAGE_LIBOPENSSL_ENABLE_COMP=y

本项目未用到wifi模块,所以直接裁掉hostapd和wpa_supplicant模块。根据自己项目实际选择解决方案。

sshd启动慢

现象

1、设备启动后,立即执行/usr/sbin/sshd [-d] 无log打印,且ssh client无法连接,4~5分后sshd正常启动,ssh client可以正常连接。之后再重新执行sshd一切都正常
2、设备启动后4~5分后,手动执行/usr/sbin/sshd 可以正常运行

解决

本项目内核版本linux-3.10.14

法1:升级内核

在openssh和openssl中增加打印,发现4~5分钟的耗时发生在:

openssh/sshd.c:
    main
        seed_rng
            if (RAND_status() != 1)
            
openssl/crypto/rand/rand_lib.c:
    RAND_status
        return meth->status();

最终产生一个中断,进入内核

kernel/irq/handle.c
    handle_irq_event_percpu
        add_interrupt_randomness
            if ((fast_pool->count & 1023) &&
                !time_after(now, fast_pool->last + HZ)) //卡在了这里

不清楚为什么在kernel的add_interrupt_randomness中卡住,解决方式如下:
参考内核-随机数快速初始化补丁:https://patchwork.kernel.org/patch/6781261/

add_interrupt_randomness():

 762     if ((fast_pool->count & 1023) &&
 763         !time_after(now, fast_pool->last + HZ) &&
 764         nonblocking_pool.initialized)
 765         return;

重新烧录内核,问题解决。

但对于已出厂的产品,升级内核风险较大,有没有不升级内核解决的办法?答案是有的,见法2

法2:修改配置项

还原法1修改的内核代码,重新研究openssl-1.1.1q代码
在buildroot编译配置openssl时发现如下log:

Configuring OpenSSL version 1.1.1q (0x1010111fL) for linux-mips32
Using os-specific seed configuration
Creating configdata.pm
Creating Makefile

其中“Using os-specific seed configuration”,推测openssl可以选择随机数获取seed的方式
查看grep seed ./Configure,得到:

my @known_seed_sources = qw(getrandom devrandom os egd none rdcpu librandom);
my @seed_sources = ();
                elsif (/^--with-rand-seed=(.*)$/)
                            die "Unknown --with-rand-seed choice $x\n"
                                if ! grep { $x eq $_ } @known_seed_sources;
                            push @seed_sources, $x;
if (scalar(@seed_sources) == 0) {
    print "Using os-specific seed configuration\n";
    push @seed_sources, 'os';

即如果配置中没有–with-rand-seed=,则默认使用内核(OS)来产生随机数的seed,已知通过内核产生seed耗时较长,是否可以通过其他方式产生?答案是肯定的,修改如下:
buildroot方式:

buildroot配置文件增加:
BR2_PACKAGE_LIBOPENSSL_ENABLE_SEED=y

package/libopenssl/*.mk修改:
    define LIBOPENSSL_CONFIGURE_CMDS中增加
        --with-rand-seed=devrandom \

–with-rand-seed=devrandom即采用/dev/*random来产生随机数
重新编译openssl和ssh,烧录后解决问题。

单编方式:

在./Configure中增加一个:--with-rand-seed=devrandom即可

重新编译openssl和ssh,烧录后解决问题。

openssh_9.1p1

正常编译即可。但在使用时出现如下问题

scp无法使用

现象

buildroot编译方式可能出现该问题,报错如下:

PC端执行scp时报错:
sh: scp: not found
lost connection
解决

首先确定设备测scp存在,且env中的PATH正确,能够寻到scp,在此基础上:

查看openssh配置时–with-default-path=的值是什么,我这里该值是空的,导致了上述问题
修改package/openssh.mk 或者在配置时增加–with-default-path=/usr/bin即可文章来源地址https://www.toymoban.com/news/detail-671725.html

 21 OPENSSH_CONF_OPTS = \
 22     --sysconfdir=/etc/ssh \
 23     --with-default-path=/usr/bin \
 24     $(if $(BR2_PACKAGE_OPENSSH_SANDBOX),--with-sandbox,--without-sandbox) \

到了这里,关于openssl安全漏洞解决方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • Web系统常见安全漏洞介绍及解决方案-CSRF攻击

    Web系统常见安全漏洞介绍及解决方案-CSRF攻击

    🐳博客主页:拒绝冗余 – 生命不息,折腾不止 🌐订阅专栏:『Web安全』 📰如觉得博主文章写的不错或对你有所帮助的话,还望大家多多支持呀! 👉关注✨、点赞👍、收藏📂、评论。 CSRF跨站请求伪造,全称Cross-site request forgery,是指利用受害者尚未失效的身份认证信息

    2024年01月22日
    浏览(46)
  • 信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)

    信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)

    信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞、nginx漏洞修复) 信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级) 信息服务上线渗透检测网络安

    2024年02月12日
    浏览(48)

  • Spring Cloud Gateway集成Actuator的安全漏洞和解决方案

    Spring Cloud Gateway是一个基于Spring Boot2.0和Spring WebFlux的API网关,它可以将请求转发到多个微服务并对请求进行路由、过滤和修改。Spring Cloud Gateway集成Actuator后可以提供更多的监控和管理功能,但是也可能导致安全漏洞。 最近线上环境出现一起安全事件,就是由于Spring Cloud Gat

    2024年02月09日
    浏览(49)
  • Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)

    Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)

    centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778) 漏洞影响范围: OpenSSL1.0.2 OpenSSL1.1.1 OpenSSL3.0 OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击

    2024年02月12日
    浏览(40)

  • 关于安全扫描漏洞修复的问题(配置yum源--安装telnet--安装openssl--安装openssh--修改22端口)

    流程:配置yum源--安装telnet--安装openssl--安装openssh--修改22端口(看具体情况)--关闭并卸载telnet #本地yum源配置 cd /etc/yum.repos.d/ mkdir baks mv *.repo baks/ vi local.repo #执行命令 yum clean all   表示删除原来的yum源文件索引 yum makecache   重新缓存新的yum源文件索引 安装前,可以使用s

    2024年02月01日
    浏览(62)

  • 针对3389端口严重安全漏洞及解决方法

    微软公司于2019年5月14日发布重要更新安全公告,其操作系统远程桌面(Remote Desktop Services),俗称的3389服务存在严重安全漏洞(编号CVE-2019-0708):该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证,无需用户交互。当未经身份验证的攻击者使用RDP(常见端口3389)连

    2024年02月11日
    浏览(56)

  • 织梦dedecms安全漏洞include/common.inc.php漏洞解决方法

    1.受影响版本织梦dedecms 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。 描述: 目标存在全局变量覆盖漏洞。 1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以

    2024年02月04日
    浏览(93)
  • Java安全漏洞:Druid未授权访问解决

    Java安全漏洞:Druid未授权访问解决

    相信很多朋友在服务器安全扫描的时候,遇到过 Druid未授权访问低风险漏洞 提示。本文先对Druid未授权访问漏洞进行介绍和分析,最后给出两种解决办法,供大家参考。 漏洞说明:Druid由阿里巴巴数据库出品,为监控而生的数据库连接池,并且Druid可以提供监控,监控SQL的执

    2024年02月03日
    浏览(41)
  • 简单七步解决SSL安全问题和漏洞

    简单七步解决SSL安全问题和漏洞

    SSL(安全套接字层) 广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,以保障在Internet上数据传输之安全。下面将和大家探讨新的SSL安全形势以及新的安全问题。 第一步:SSL证书 SSL证书是SSL安全的重要组成部分,并指示用户网站是否可信。基于此,SSL必须是从可靠

    2024年02月06日
    浏览(35)
  • 网络安全--linux下Nginx安装以及docker验证标签漏洞

    网络安全--linux下Nginx安装以及docker验证标签漏洞

    目录 一、Nginx安装  二、docker验证标签漏洞 1.首先创建 Nginx 的目录并进入: 2.下载 Nginx 的安装包,可以通过 FTP 工具上传离线环境包,也可通过 wget 命令在线获取安装包: 没有 wget 命令的可通过 yum 命令安装: 3.解压 Nginx 的压缩包: 4.下载并安装 Nginx 所需的依赖库和包:

    2024年02月11日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包