在 RHEL 8 中使用 FIPS 构建 OpenSSL 1.1.1q

在 RHEL 8 中使用 FIPS 构建 OpenSSL 1.1.1q

是否可以在 RHEL 8 中构建支持 Fips 的 OpenSSL 1.1.1q?在 RHEL 8.6 中,支持的版本是 OpenSSL 1.1.1k FIPS。但我想将此 OpenSSL 升级到最新版本。

先感谢您。

答案1

评论太长:

您可能想要做错事,许多想要升级到最新版本的 OpenSSL(或任何其他系统库或组件)的人也一样。

大多数要求进行此类升级的人都会看到这样的安全通知 https://www.cvedetails.com/cve/CVE-2022-2097/并看到该漏洞已在最新版本中修复,“已在 OpenSSL 1.1.1q 中修复”然后想要升级到该版本。

一般来说,他们会忘记,从安全角度来看,您不想运行任何特定的 OpenSSL 版本,只是不想受到任何已知的 OpenSSL(或其他)安全漏洞的攻击。

一般来说,您已经通过定期应用所支持的 RHEL 8 版本上的安全更新来实现这一点。

您可能会在服务器上看到 OpenSSL 的旧版本号,但这并不意味着您的系统存在漏洞,因为“企业”Linux 发行版中通常“反向移植”安全更新。反向移植的原因和过程在RedHat.com。(请阅读整篇文章。)

rpm -q --changelog openssl

显示您的系统所运行版本中已解决的 CVE 和问题。

上面的 CVE 是一个坏例子,或者可能不是,因为 Red Hat 确定 RHEL 8 不容易受到攻击:https://access.redhat.com/security/cve/cve-2022-2097


如果您确实需要升级 OpenSSL - 请注意,它是一个相当关键的组件,系统中的许多其他元素都依赖于它。我会避免升级 OS OpenSSL 版本,只将需要非标准版本的特定应用程序链接到您的自定义 OpenSSL 版本。

相关内容