centos7 OpenSSL1.1.1i rpm自動打包升級

時間  2021-01-22
標籤 html node shell 安全 bash 服務器 curl ide post 欄目 Tomcat 简体版
原文   原文鏈接

OpenSSL最新漏洞
OpenSSL官方發佈了拒絕服務漏洞風險通告,漏洞編號爲CVE-2020-1971html

漏洞詳情
OpenSSL是一個開放源代碼的軟件庫包,應用程序能夠使用這個包來進行安全通訊,避免聽**,同時確認另外一端鏈接者的身份。這個包普遍被應用在互聯網的網頁服務器上。node

OpenSSL在處理EDIPartyName(X.509 GeneralName類型標識)的時候,存在一處空指針解引用,並引發程序崩潰致使拒絕服務。***者可經過構造特製的證書驗證過程觸發該漏洞,並致使服務端拒絕服務。shell

風險等級
安全

漏洞風險
漏洞被利用可能致使拒絕服務bash

影響版本
OpenSSL : 1.0.2-1.0.2w 服務器

OpenSSL : 1.1.1-1.1.1hcurl

安全版本
OpenSSL : 1.1.1i ide

OpenSSL : 1.0.2xpost

修復建議
將OpenSSL升級到1.1.1i、 1.0.2x或最新版本 ui

【備註】:建議您在升級前作好數據備份工做,避免出現意外

漏洞參考
https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

  • OpenSSL1.1.1i rpm包
    能夠直接使用下面的shell腳本自動打包。
#!/bin/bash
set -e
set -v
if [[ ! -f "/root/openssl-1.1.1i.tar.gz" ]];then
  wget -O /root/openssl-1.1.1i.tar.gz https://www.openssl.org/source/openssl-1.1.1i.tar.gz
fi
mkdir ~/openssl && cd ~/openssl
yum -y install \
    curl \
    which \
    make \
    gcc \
    perl \
    perl-WWW-Curl \
    rpm-build
# Get openssl tarball
if [[ ! -f "./openssl-1.1.1i.tar.gz" ]];then
  cp /root/openssl-1.1.1i.tar.gz ./
fi

# SPEC file
cat << 'EOF' > ~/openssl/openssl.spec
Summary: OpenSSL 1.1.1i for Centos
Name: openssl
Version: %{?version}%{!?version:1.1.1i}
Release: 1%{?dist}
Obsoletes: %{name} <= %{version}
Provides: %{name} = %{version}
URL: https://www.openssl.org/
License: GPLv2+

Source: https://www.openssl.org/source/%{name}-%{version}.tar.gz

BuildRequires: make gcc perl perl-WWW-Curl
BuildRoot: %{_tmppath}/%{name}-%{version}-%{release}-root
%global openssldir /usr/local/openssl

%description
OpenSSL RPM for version 1.1.1i on Centos

%package devel
Summary: Development files for programs which will use the openssl library
Group: Development/Libraries
Requires: %{name} = %{version}-%{release}

%description devel
OpenSSL RPM for version 1.1.1i on Centos (development package)

%prep
%setup -q

%build
./config --prefix=%{openssldir} --openssldir=%{openssldir}
make

%install
[ "%{buildroot}" != "/" ] && %{__rm} -rf %{buildroot}
%make_install

mkdir -p %{buildroot}%{_bindir}
mkdir -p %{buildroot}%{_libdir}
ln -sf %{openssldir}/lib/libssl.so.1.1 %{buildroot}%{_libdir}
ln -sf %{openssldir}/lib/libcrypto.so.1.1 %{buildroot}%{_libdir}
ln -sf %{openssldir}/bin/openssl %{buildroot}%{_bindir}

%clean
[ "%{buildroot}" != "/" ] && %{__rm} -rf %{buildroot}

%files
%{openssldir}
%defattr(-,root,root)
/usr/bin/openssl
/usr/lib64/libcrypto.so.1.1
/usr/lib64/libssl.so.1.1

%files devel
%{openssldir}/include/*
%defattr(-,root,root)

%post -p /sbin/ldconfig

%postun -p /sbin/ldconfig
EOF

mkdir -p /root/rpmbuild/{BUILD,RPMS,SOURCES,SPECS,SRPMS}
cp ~/openssl/openssl.spec /root/rpmbuild/SPECS/openssl.spec

mv openssl-1.1.1i.tar.gz /root/rpmbuild/SOURCES
cd /root/rpmbuild/SPECS && \
    rpmbuild \
    -D "version 1.1.1i" \
    -ba openssl.spec

# Before Uninstall  Openssl :   rpm -qa openssl
# Uninstall Current Openssl Vesion : yum -y remove openssl
# For install:  rpm -ivvh /root/rpmbuild/RPMS/x86_64/openssl-1.1.1i-1.el7.x86_64.rpm --nodeps
# or rpm -Uvh openssl-1.1.1i-1.el7.x86_64.rpm --nodeps --force
# Verify install:  rpm -qa openssl
#                  openssl version

我使用的:

rpm -Uvh openssl-1.1.1i-1.el7.x86_64.rpm --nodeps --force
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程