我们担心 OpenSSL 漏洞并正在运行 SLES11SP1 服务器。不幸的是,由于管理原因,我们的支持已过期,因此我们正在考虑手动更新 OpenSSL 及其所需的库。是否有脚本或推荐的方法来获取最新版本的 OpenSSL 并制作 RPM 或直接在操作系统上安装模块?
答案1
如果不更新大部分系统,这是不可能的。我在 CentOS 5.x 上尝试了同样的方法,但最终浪费了很多时间。
您可以做的(也尝试过这个,但最终升级了整个系统)是安装 OpenSSL 的源代码和您的 Web 服务器等 - 无论您希望使用新的 SSL 运行什么,然后使用不同的编译它们编译根目录,例如在/opt.然而,(至少可以说)针对旧系统库编译 OpenSSL 并不容易 - 无论如何我都遇到了这个问题。
剩下的问题是,当发布新版本的 OpenSSL 时,没有简单的升级途径可用。
如果无法升级(来宾)操作系统,一种解决方法(现在正在集思广益)可能是使用较新的系统运行虚拟机,运行基于 SSL 的服务。
另一个解决方法是针对 openSSL 的静态构建(您需要编译)来编译这些服务(如 apache)——同样需要大量工作。
答案2
2014 年 8 月,SUSE 发布了“SUSE Linux Enterprise 11 安全模块”,为 SUSE Linux Enterprise 11 SP3 和更高版本的 SP4 提供增强功能。
zypper in curl-openssl1 wget-openssl1
然后确保使用正确的替代方案,检查:
update-alternatives --display curl
看:https://www.suse.com/documentation/suse-best-practices/singlehtml/securitymodule/securitymodule.html
答案3
zypper up作为来自终端的 root 应该可以解决问题。