2020年12月8日发布了 OpenSSL 拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1971 ,漏洞等级: 高危 ,漏洞评分: 7.5 ,当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。

OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

温馨提示:升级OpenSSL前务必先做好快照备份,以免操作失误导致系统崩溃。

下载 openssl 源码包

目前官网最新版本为 openssl-1.1.1K ,因腾讯云团队提示升级到 openssl-1.1.1g-12.el8_3.x84_64或更高版本,所以我们直接下载最新的。

wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz

解压 openssl 源码包

tar xf openssl-1.1.1k.tar.gz
//解压源码包
cd openssl-1.1.1k
//进入openssl目录

编译安装 openssl 最新版本

./config --prefix=/usr/local/openssl --openssldir=/etc/ssl --shared zlib
make -j4
make install

备份当前的 openssl

mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak

配置使用 openssl 新版本

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl

查看是否创建成功

ll /usr/bin/openssl;ll /usr/include/openssl

更新并重新加载动态链接库

echo “/usr/local/openssl/lib” >> /etc/ld.so.conf
//更新
/sbin/ldconfig
//重新加载

验证 openssl-1.1.1k 版本是否升级成功

openssl version

验证升级成功提示,如下:

OpenSSL 1.1.1k  25 Mar 2021 (Library: OpenSSL 1.1.1g FIPS  21 Apr 2020)

温馨提示:升级OpenSSL前务必先做好快照备份,以免操作失误导致系统崩溃。