openssl 版本保留旧版本

openssl 版本保留旧版本

我正在尝试在 CentOS 7.3 上更新 openssl。我一开始尝试使用yum update openssl-devel' 来更新它,但它显示:No packages marked for update

当我运行时yum info openssl出现的版本号是:1.0.1e

之后我使用这个从源代码安装了 openssl 1.0.2i指导在 CentOS 7.3 上。我认为我的问题出在这两行:

mv /usr/bin/openssl /root/
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

在两种情况下,当我在安装后运行 openssl 版本时,我仍然会看到旧版本:

openssl version
OpenSSL 0.9.8l 5 Nov 2009

可能是什么问题呢?

答案1

我真的不认为你在这里向我们展示了全部情况。你几乎肯定没有“只是按照”链接的文档。如果你这样做了,那么你就不会OpenSSL 0.9.8l 5 Nov 2009在你的系统上安装 7 年前的版本。此时你应该考虑你的系统配置严重错误,你应该重新安装它。

如果您因为版本号显示的安全问题而想要更新 openssl,那么您需要阅读并了解反向移植。RHEL(CentOS 的上游)将安全修复程序反向移植到其产品中。您可以使用命令

rpm -q --changelog openssl

查看变更日志。然后您应该检查是否列出了您关心的漏洞,它们几乎肯定会被列出。

供参考,我手头有 C7.3 系统

openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

rpm -q --changelog openssl

 Thu Sep 22 2016 Tomáš Mráz <[email protected]> 1.0.1e-60
- fix CVE-2016-2177 - possible integer overflow
- fix CVE-2016-2178 - non-constant time DSA operations
- fix CVE-2016-2179 - further DoS issues in DTLS
- fix CVE-2016-2180 - OOB read in TS_OBJ_print_bio()
- fix CVE-2016-2181 - DTLS1 replay protection and unprocessed records issue
- fix CVE-2016-2182 - possible buffer overflow in BN_bn2dec()
- fix CVE-2016-6302 - insufficient TLS session ticket HMAC length check
- fix CVE-2016-6304 - unbound memory growth with OCSP status request
- fix CVE-2016-6306 - certificate message OOB reads
- mitigate CVE-2016-2183 - degrade all 64bit block ciphers and RC4 to 
  112 bit effective strength
...

因此,最近在 9 月份,安全修复程序被移植到 OpenSSL 中。

相关内容