关于OpenSSL1.0.2k-fip升级修复漏洞

这篇具有很好参考价值的文章主要介绍了关于OpenSSL1.0.2k-fip升级修复漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

关于OpenSSL1.0.2k-fip升级修复漏洞


前言

近日,国家信息安全漏洞库(CNNVD)收到关于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4版本受漏洞影响。目前,OpenSSL官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。该漏洞源于计算机上具有2048位私钥的 RSA 实现不正确,并且在计算过程中会发生内存损坏,导致攻击者可能会在执行计算的机器上远程执行代码。
二、危害影响
成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL1.0.2、OpenSSL1.1.1、OpenSSL 3.0版本受漏洞影响。
三、修复建议
目前,OpenSSL官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345

一、下载openssl和openssh

https://www.openssl.org/source/
https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/

二、openssl升级步骤

1.查看当前的openssl和openssh的版本

[root@openvpn ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

2.编译安装(需要gcc环境)

[root@openvpn ~]# yum remove openssl-devel
[root@openvpn ~]# yum install openssl-devel
[root@openvpn openssl-1.1.1s]# ./config --prefix=/usr/local/openssl-1.1.1s --shared
Operating system: x86_64-whatever-linux2
Configuring OpenSSL version 1.1.1s (0x1010113fL) for linux-x86_64
Using os-specific seed configuration
Creating configdata.pm
Creating Makefile

**********************************************************************
***                                                                ***
***   OpenSSL has been successfully configured                     ***
***                                                                ***
***   If you encounter a problem while building, please open an    ***
***   issue on GitHub <https://github.com/openssl/openssl/issues>  ***
***   and include the output from the following command:           ***
***                                                                ***
***       perl configdata.pm --dump                                ***
***                                                                ***
***   (If you are new to OpenSSL, you might want to consult the    ***
***   'Troubleshooting' section in the INSTALL file first)         ***
***                                                                ***
**********************************************************************
[root@openvpn openssl-1.1.1s]# make && make install
备份当前openssl
[root@openvpn openssl-1.1.1s]# mv /usr/bin/openssl /usr/bin/openssl.bak
[root@openvpn openssl-1.1.1s]# mv /usr/include/openssl /usr/include/openssl.bak
配置使用新版本
[root@openvpn openssl-1.1.1s]# ln -s /usr/local/openssl-1.1.1s/bin/openssl /usr/bin/openssl
[root@openvpn openssl-1.1.1s]# ln -s /usr/local/openssl-1.1.1s/include/openssl /usr/include/openssl
更新动态链接库数据
[root@openvpn openssl-1.1.1s]# echo "/usr/local/openssl-1.1.1s/lib">>/etc/ld.so.conf
[root@openvpn ~]# ldconfig -v
ldconfig: Can't stat /libx32: No such file or directory
ldconfig: Path `/usr/lib' given more than once
ldconfig: Path `/usr/lib64' given more than once
ldconfig: Can't stat /usr/libx32: No such file or directory
/usr/lib64//bind9-export:
	libisccfg-export.so.160 -> libisccfg-export.so.160.2.1
	libisc-export.so.169 -> libisc-export.so.169.0.3
	libirs-export.so.160 -> libirs-export.so.160.0.5
	libdns-export.so.1102 -> libdns-export.so.1102.1.2
/usr/local/openssl-1.1.1s/lib:
	libssl.so.1.1 -> libssl.so.1.1
	libcrypto.so.1.1 -> libcrypto.so.1.1

再次查看版本号

[root@openvpn ~]# openssl version
OpenSSL 1.1.1s  1 Nov 2022

三、openssh升级步骤

个人机器已经是最新的版本

[root@openvpn openssh-9.1p1]# yum install pam-devel libselinux-devel zlib-devel openssl-devel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
Package pam-devel-1.1.8-23.el7.x86_64 already installed and latest version
Package libselinux-devel-2.5-15.el7.x86_64 already installed and latest version
Package zlib-devel-1.2.7-20.el7_9.x86_64 already installed and latest version
Package 1:openssl-devel-1.0.2k-25.el7_9.x86_64 already installed and latest version
Nothing to do
[root@openvpn openssh-9.1p1]# mv /etc/ssh /etc/ssh.bak
[root@openvpn openssh-9.1p1]# ./configure --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/var/lib
/sshd/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl-1.1.1s/lib
[root@openvpn openssh-9.1p1]# make && make install
[root@openvpn openssh-9.1p1]# mv /etc/ssh.bak/sshd_config /etc/ssh/sshd_config
mv: overwrite ‘/etc/ssh/sshd_config’? y

最后

[root@openvpn openssh-9.1p1]# systemctl daemon-reload
[root@openvpn openssh-9.1p1]# systemctl restart sshd
[root@openvpn openssh-9.1p1]# ssh -V
OpenSSH_9.1p1, OpenSSL 1.1.1s  1 Nov 2022

四、关于openssh和openssl简单介绍

OpenSSL
OpenSSL是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。
OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的,也可以建立私有CA证书等。
OpenSSL和OpenSSH的区别
SSL是通讯链路的附加层。可以包含很多协议。https, ftps
SSH只是加密的shell,最初是用来替代telnet的。通过port forward,也可以让其他协议通过ssh的隧道而起到加密的效果。
OpenSSL------一个C语言函数库,是对SSL协议的实现。
OpenSSH-----是对SSH协议的实现。
SSH 利用 OpenSSL 提供的库。OpenSSH依赖于OpenSSL ,没有OpenSSL 的话OpenSSH 就编译不过去,也运行不了。文章来源地址https://www.toymoban.com/news/detail-808634.html

到了这里,关于关于OpenSSL1.0.2k-fip升级修复漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 漏洞补丁修复之openssl版本从1.1.1q升级到1.1.1t以及python版本默认2.7.5升级到2.7.18新版本和Nginx版本升级到1.24.0

    ​ 一、Openssl升级 1、查看Openssl安装的版本 2、查看Openssl路径 3、上传openssl安装包到服务器:openssl-1.1.1t.tar.gz,并且解压,安装: make完成图示: 此时版本还是1.1.1q的动态库: 4、更新使用最新版openssl库: 5、重新加载动态链接库

    2024年01月21日
    浏览(48)
  • CentOS安装OpenSSL1.1.1

    编译安装Python3.10时需要openssl1.1.1 1.查看当前版本 2. 删除openssl1.0 3.切换目录  4.下载安装包 5.解压并进入目录 6.安装依赖  7.安装perl-CPAN  8.设置配置   9.编译   10.安装  11.创建软连接 12.配置环境变量  在文件末尾添加一行代码: /usr/local/openssl/lib 13. 使配置生效 14.验证,任

    2024年02月11日
    浏览(32)
  • Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)

    centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778) 漏洞影响范围: OpenSSL1.0.2 OpenSSL1.1.1 OpenSSL3.0 OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击

    2024年02月12日
    浏览(40)
  • openssl升级解决CVE-2021-3711漏洞

    查看当前openssl版本 从官网下载最新版: https://www.openssl.org/source/ 开始备份+编译安装 备份 安装 开始替换 验证

    2024年02月11日
    浏览(47)
  • OpenSSH 漏洞修复升级最新版本

    Centos7系统ssh默认版本一般是OpenSSH7.4左右,低版本是有漏洞的而且是高危漏洞,在软件交付和安全扫描上是过不了关的,一般情况需要升级OpenSSH的最新版本 今天详细说下升级最新版本的处理过程(认真看会发现操作很简单,因为写的操作很详细...) 现在绝大多数服务器的操

    2024年01月22日
    浏览(53)
  • 【Redis升级---修复代码注入漏洞、缓冲区错误漏洞】

    👈【上一篇】 💖The Begin💖 点点关注,收藏不迷路💖 【下一篇】👉 1.1 ⛳ 组件名称---- Redis 1.2 ⛳ 组件版本---- V4.0.8 1.3 ⛳ 是否合规---- 否 1.4 ⛳ 漏洞类型---- 中间件漏洞 1.5 ⛳ 漏洞类型---- 涉及漏洞编号 CVE编号: CVE-2022-0543 CNNVD编号: CNNVD-202202-1622 ----Redis 代码注入漏洞 C

    2024年02月08日
    浏览(38)
  • 如何修复ssh漏洞进行版本升级

    目录 一、ssh低版本漏洞信息 OpenSSH GSSAPI 处理远端代码执行漏洞 OpenSSH GSSAPI认证终止信息泄露漏洞 OpenSSH X连接会话劫持漏洞 二、升级ssh版本进行修复漏洞 第一步 安装Telnet服务 第二步 重启服务 第三步 安装依赖环境 第四步 备份ssh老版本文件 第五步 导入服务包并解压 第六步

    2024年02月13日
    浏览(43)
  • 修复漏洞(二)离线升级Tomcat版本

    生产环境无法联网,只能通过下载离线版本更新Tomcat到小版本最新 注意Tomcat10和11与jdk1.8都不兼容,只能更新到小版本的最新 前提是按照我这种方法配置Tomcat开机自启的https://blog.csdn.net/qq_44648936/article/details/130022136 备份整个安装目录和配置文件,压缩也好,文件复制也好,或

    2024年02月16日
    浏览(38)
  • 修复漏洞(一)离线升级Docker版本

    一般人最好用的修复漏洞的方式就是更新版本 起因是使用的Docker版本被检测出来有一堆漏洞(例如:Docker 操作系统命令注入漏洞(CVE-2019-5736)) 更新环境无法联网,只能通过下载二进制文件的形式进行安装 可先通过 which docker 查看Docker可执行文件的地址 然后查看自己docker的版

    2024年02月16日
    浏览(44)
  • Sweet32漏洞,升级openssl或者禁用3DES和DES弱加密算法

    由于等保的原因,被服务商扫描出漏洞。 warnings: | 64-bit block cipher 3DES vulnerable to SWEET32 attack 如何不喜欢使用nmap,也可以使用如下工具testssl.sh,但是输出的内容太多了,本次我只截取部分 解决办法有两个,一个是升级OpenSSL 1.0.2k-fips 26 Jan 2017 以上,另外一个是更新nginx配置,禁

    2024年02月11日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包