牛牛逼逼叉叉
菜单

openssl又被爆出新漏洞(CVE-2016-2107)(升级脚本)

2016年05月14日,分类《系统运维》,作者:
博客捐助

OpenSSl 密码库的维护人员发布了一个高危安全漏洞的补丁(CVE-2016-2107),这个漏洞可以让攻击者在web服务器上解密登录证书或者执行恶意代码。

当连接使用AES CBC加密并且服务器支持AES-NI的情况下,中间人攻击者可以使用padding oracle攻击来解密流量。

填充检测被重写来确保读取的字节总是相同的,并且对MAC和填充字节进行比较。但它不再检查是否有足够的数据来包含MAC和填充字节。

影响:高危

修复方法:升级版本

WDCP官方给的方法是下面这样

OpenSSL 1.0.2 用户请更新到1.0.2h版本

OpenSSL 1.0.1 用户请更新到1.0.1t版本

https://www.openssl.org/news/vulnerabilities.html#y2016

登录SSH上操作

wget http://down.wdlinux.cn/in/openssl201605.sh

sh openssl201605.sh

如果能顺利执行完成,不出什么错,就升级完了

我自己查看了一下我的版本 openssl version 查看。

我的版本是1.0.1e。官方是让我升级到1.0.1t,但是官方脚本会给我自动升级到1.0.2h,一直升级升级失败。

我经过修改官方的脚本去除1.0.2h的判断,直接安装1.0.1t还是失败。失败的原因都是到15行 ./config 这一段的时候提示权限不够。

不知道是不是脚本第一步切换到临时目录的原因。

后来官方贴的下面有朋友发出了升级到1.0.2h的方法。

我把代码贴在下方:

升级openssl环境至openssl-1.0.2h
 1、查看源版本
 [root@zj ~]# openssl version -a
 OpenSSL 1.0.1e

 2、下载openssl-1.0.2h.tar.gz
 wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz

 3、更新zlib
 yum install -y zlib

 4、解压安装
 tar zxf openssl-1.0.2h.tar.gz
 cd openssl-1.0.2h
 ./config shared zlib
 make
 make install
 mv /usr/bin/openssl /usr/bin/openssl.bak
 mv /usr/include/openssl /usr/include/openssl.bak
 ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
 ln -s /usr/local/ssl/include/openssl /usr/include/openssl
 echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
 ldconfig -v

 5、查看是否升级成功
 [root@zj ~]# openssl version -a
 OpenSSL 1.0.2h  3 May 2016

使用这位网友的脚本我成功升级为了1.0.2h,为了大家都可以顺利升级我特地转载过来与大家分享。

这个步骤在安装的过程中我遇到了这样一个问题,操作到这一步的时候 mv /usr/bin/openssl /usr/bin/openssl.bak 会提示权限不够。

我的解决方法是 拷贝备份cp /usr/bin/openssl /usr/bin/openssl.bak,在删除原本的openssl rm -fr /usr/bin/openssl。

然后在继续下面的操作。

make和make install 可以 一起使用,这样输入就可以 make & make install。

如果大家都成功了记得回来给我留言哦。



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

识别移动ua进行pc与手机站url适配的相关规则(linux+Apache)

【下一篇】

WebApp 开发中常用的代码片段