我在 RHEL 6.5 上升级 OpenSSL 时遇到问题。 OpenSSL 缺少该库libcrypto.so.10。相反,openssl 1.0.1j创建的库是libcrypto.so.1.0.0.我已经做了一个软链接,但它仍然不适用于其他使用libcrypto.so.10.
有人对这个问题有经验吗?
解释(附录/编辑):这是必需的信息,因为许多人希望直接使用 OpenSSL 包中的 1.0.1j 版本来逃避 OpenSSL 中最新的 (2014.10.15)“POODLE”漏洞。如果此时从openssl.org获取tar.gz文件,应该不会有问题。之前曾短暂出现过问题,并且该出版物可能仍存在于其他站点上,因此请避免删除 openssl.org 以外的文件: openssl 下载。
请仔细阅读 @jvp 答案中有关 RPM 的 SSL3 警告,因为更新并不能完全解决服务器允许此类连接时出现的服务器问题。有关此附加漏洞的讨论可在以下位置找到: us-cert.gov 的 NCAS 部门
请参阅回答关于对 EL6 和 EL7 使用基于 Red Hat 的 RPM。
查看/usr/lib32 位和/usr/lib6464 位目录,布局应如下所示:
- libcrypto.a
- libcrypto.so -> libcrypto.so.1.0.1j
- libcrypto.so.10 -> libcrypto.so.1.0.1j
- libcrypto.so.1.0.1j
- .libcrypto.so.1.0.1j.hmac
- .libcrypto.so.10.hmac -> .libcrypto.so.1.0.1j.hmaclibssl.a
- libssl.so -> libssl.so.1.0.1j
- libssl.so.10 -> libssl.so.1.0.1j
- libssl.so.1.0.1j
- .libssl.so.1.0.1j.hmac
- .libssl.so.10.hmac -> .libssl.so.1.0.1j.hmac
还有 lib 子目录openssl和package,但这些从来都不是问题。
答案1
RPM 已推出用于 RHEL [6|7] 及其同级版本(即 CentOS 等),并且可以通过大多数存储库中的 yum 获得。
请注意,这些 RPM 解决了部分“POODLE”漏洞:
- CVE-2014-3567,
- CVE-2014-3566,以及
- CVE-2014-3513
看: 证书网
安全更新才不是解决一些特定的 SSLv3 问题,因此那些更新服务器的人必须消除客户端使用此协议(特别是 CBC 方法)连接的任何可能性。
从服务器配置中删除 SSL3 非常容易,方法是:
NGINX/引擎:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;在http配置部分添加/替换- 确保“ssl_protocols”指令在任何服务器部分都没有被覆盖。
如果您发现任何服务器指令,只需删除它们并让“HTTP”来管理......无论如何,它应该如此。
阿帕奇:
SSLProtocol All -SSLv2 -SSLv3在全局 SSL 配置部分添加/替换- 与 Nginx 一样,检查您的虚拟主机。
与之前的 OpenSSL 混乱一样,它没有发布新的 RPM 编号来匹配更新的 OpenSSL 版本号 (1.0.1j),而是.rpm将补丁向后移植到.rpm发行版的最后一个范围;这是 1.0.1e(对于基于 RHEL 的发行版),并且截至目前已完全版本化为1.0.1e-30.[variable by specific machine version].
因此,以 CentOS 6 64 位为例,.rpm您将得到的是openssl-1.0.1e-30.el6_5.2.x86_64.rpm.
与任何 OpenSSL 更新一样,任何依赖 OpenSSL 的内容(例如 Web 服务器、VPN 等)都必须在更新生效之前在服务器上重新启动。
答案2
wget http://www.openssl.org/source/openssl-1.0.1j.tar.gz
tar -xvf openssl-1.0.1j.tar.gz
cd openssl-1.0.1j
./config --prefix=/usr no-threads shared
make
make test
make install
openssl version