OpenSSL 1.0.1j - RHEL 6.5 上的“POODLE”漏洞修复(升级)

OpenSSL 1.0.1j - RHEL 6.5 上的“POODLE”漏洞修复(升级)

我在 RHEL 6.5 上升级 OpenSSL 时遇到问题。 OpenSSL 缺少该库libcrypto.so.10。相反,openssl 1.0.1j创建的库是libcrypto.so.1.0.0.我已经做了一个软链接,但它仍然不适用于其他使用libcrypto.so.10.

有人对这个问题有经验吗?

解释(附录/编辑):这是必需的信息,因为许多人希望直接使用 OpenSSL 包中的 1.0.1j 版本来逃避 OpenSSL 中最新的 (2014.10.15)“POODLE”漏洞。如果此时从openssl.org获取tar.gz文件,应该不会有问题。之前曾短暂出现过问题,并且该出版物可能仍存在于其他站点上,因此请避免删除 openssl.org 以外的文件: openssl 下载

请仔细阅读 @jvp 答案中有关 RPM 的 SSL3 警告,因为更新并不能完全解决服务器允许此类连接时出现的服务器问题。有关此附加漏洞的讨论可在以下位置找到: us-cert.gov 的 NCAS 部门

请参阅回答关于对 EL6 和 EL7 使用基于 Red Hat 的 RPM。

查看/usr/lib32 位和/usr/lib6464 位目录,布局应如下所示:

  • libcrypto.a
  • libcrypto.so -> libcrypto.so.1.0.1j
  • libcrypto.so.10 -> libcrypto.so.1.0.1j
  • libcrypto.so.1.0.1j
  • .libcrypto.so.1.0.1j.hmac
  • .libcrypto.so.10.hmac -> .libcrypto.so.1.0.1j.hmaclibssl.a
  • libssl.so -> libssl.so.1.0.1j
  • libssl.so.10 -> libssl.so.1.0.1j
  • libssl.so.1.0.1j
  • .libssl.so.1.0.1j.hmac
  • .libssl.so.10.hmac -> .libssl.so.1.0.1j.hmac

还有 lib 子目录opensslpackage,但这些从来都不是问题。

答案1

RPM 已推出用于 RHEL [6|7] 及其同级版本(即 CentOS 等),并且可以通过大多数存储库中的 yum 获得。

请注意,这些 RPM 解决了部分“POODLE”漏洞:

  • CVE-2014-3567,
  • CVE-2014-3566,以及
  • CVE-2014-3513

看: 证书网

安全更新才不是解决一些特定的 SSLv3 问题,因此那些更新服务器的人必须消除客户端使用此协议(特别是 CBC 方法)连接的任何可能性。

从服务器配置中删除 SSL3 非常容易,方法是:

NGINX/引擎:

  • ssl_protocols TLSv1 TLSv1.1 TLSv1.2;http 配置部分添加/替换
  • 确保“ssl_protocols”指令在任何服务器部分都没有被覆盖。

如果您发现任何服务器指令,只需删除它们并让“HTTP”来管理......无论如何,它应该如此。

阿帕奇:

  • SSLProtocol All -SSLv2 -SSLv3在全局 SSL 配置部分添加/替换
  • 与 Nginx 一样,检查您的虚拟主机。

与之前的 OpenSSL 混乱一样,它没有发布新的 RPM 编号来匹配更新的 OpenSSL 版本号 (1.0.1j),而是.rpm将补丁向后移植到.rpm发行版的最后一个范围;这是 1.0.1e(对于基于 RHEL 的发行版),并且截至目前已完全版本化为1.0.1e-30.[variable by specific machine version].

因此,以 CentOS 6 64 位为例,.rpm您将得到的是openssl-1.0.1e-30.el6_5.2.x86_64.rpm.

与任何 OpenSSL 更新一样,任何依赖 OpenSSL 的内容(例如 Web 服务器、VPN 等)都必须在更新生效之前在服务器上重新启动。

答案2

wget http://www.openssl.org/source/openssl-1.0.1j.tar.gz
tar -xvf openssl-1.0.1j.tar.gz
cd openssl-1.0.1j
./config --prefix=/usr no-threads shared
make
make test
make install

openssl version

相关内容