openssl門鎖安全事件 rpm最新版本(修正漏洞)更新全攻略「彌補你的心」

時間 2019-12-28

標籤 openssl 門鎖安全事件 rpm 最新版本修正漏洞更新攻略彌補欄目 SSL 简体版

原文原文鏈接

近日，互聯網爆發了被稱爲「心臟出血」式的嚴重安全事件。SSL協議是爲網絡通訊提供安全及數據完整性的一種安全協議，也是互聯網上最大的「門鎖」。而這次曝出的Open SSL漏洞讓這個「門鎖」形同虛設，可讓***者得到服務器內存中的數據內容，甚至致使網絡帳戶與密碼、網銀資金、電子郵件等重要信息的泄漏! 騰訊相關報道： http://tech.qq.com/a/20140410/015389.htmios

「心臟出血」漏洞嚴重危害網站安全nginx

yum源服務已在第一時間更新網站openSSL版本並經過專業檢測，但仍建議客戶對賬號密碼按期修改，避免風險。ubuntu

Centos 6 系統版本，給出解決方案:centos

CentOS,默認安裝的OpenSSL不在OpenSSL官方公告有安全漏洞的範圍裏, 默認安裝OpenSSL -1.0.0-20.el6_2.5.x86_64（ios最小安裝時）
可是若是用戶手工升級到1.0.1版本, 有可能升級爲有問題的版本。
目前雲主機軟件源已經同步了修復版本, 可執行yum update openssl更新到最新版。後續將詳解。安全

哪些版本OpenSSL有此嚴重漏洞？服務器

OpenSSL官方發佈的公告, 出現問題的版本是：
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.
上文是官方原文。網絡

怎麼確認OpenSSL是否存在漏洞？
命令：rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extensionide

當你看到以上信息，證實你已經修復漏洞。在系統上可查看相關信息，表示已經修復了漏洞。測試

CentOS修復「OpenSSL Heartbleed漏洞」方法，詳細解說無這次漏洞升級包：網站

下面請仔細看看yum源的openssl更新日期，已是最新的yum RPM發佈版本，適用於Centos 6 系列版本。
openssl-1.0.1e-16.el6_5.7.i686.rpm 08-Apr-2014 10:49 1.5M
openssl-1.0.1e-16.el6_5.7.x86_64.rpm 08-Apr-2014 10:49 1.5M

openssl-devel-1.0.1e-16.el6_5.7.i686.rpm 08-Apr-2014 10:49 1.2M
openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm 08-Apr-2014 10:49 1.2M
yum源下載地址：
http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-1.0.1e-16.el6_5.7.i686.rpm
http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-1.0.1e-16.el6_5.7.x86_64.rpm

http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
能夠先經過wget下載，在無網絡環境，能夠經過先下載，後安裝的方式。

升級方法：命令 yum install openssl
過程會提示是否確認，輸入「Y」便可繼續升級。
升級後提示：
Setting up Install Process
Package openssl-1.0.1e-16.el6_5.7.x86_64 already installed and latest version
Nothing to do
證實已是源上的最新版本（08-Apr-2014）。

Ubuntu 系統openssl版本漏洞：

經過檢查確認全部雲主機中只有ubuntu12.04鏡像中的openSSL版本有此漏洞，雲主機會盡快更新ubuntu12.04鏡像，修復此漏洞。已購買並使用此鏡像的用戶，經過如下方法對openSSL版本升級。操做步驟以下：

A）登陸主機進行安裝包更新： apt-get update

B）更新openssl： apt-get install openssl libssl1.0.0 libssl-dev

C）檢查主機系統版本：lsb_release -a 正常版本：Ubuntu 12.04.1 LTS

D）檢查openssl版本：dpkg -l | grep ssl 對於ubuntu12.04須要更新到1.0.1-4ubuntu5.12

Ubuntu 12.4
ubuntu和centos相似, 默認安裝的版本是安全的, 若是有不慎升級到漏洞版本,須要再次升級.
默認版本是libssl1.0.0, 若是升級能夠執行
用戶可執行
apt-get update
apt-get install libssl1.0.0 或者 apt-get upgrade(這將升級全部已安裝的包,謹慎操做)

驗證本機安裝的版本？
root@jimmyli-ubuntu:/etc/apt# dpkg -l|grep libssl
ii libssl1.0.0 1.0.1-4ubuntu5.12 SSL shared libraries
root@jimmyli-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version
Version: 1.0.1-4ubuntu5.12
參考ubuntu官方關於此漏洞的說明（http://www.ubuntu.com/usn/usn-2165-1/）

SuSE系列系統：使用OpenSSL 0.9.8a不存在安全問題.

用戶自行編譯的版本：例如以前是下載有漏洞的版本tar，gz源碼包，編譯安裝的狀況下。
這種狀況下, 用戶須要根據OpenSSL官方建議, 從新編譯.
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

解決方案：從新下載無漏洞的tar，gz源碼包，從新編譯安裝。

羅列各版本的快速方法：
使用ISO安裝的Centos默認是安全的,若是用戶不慎安裝帶漏洞的OpenSSL版本,須要自行升級,雲主機的下載源已經提供了最新版本的安裝包。
各系統升級方法方法以下:
1）SuSE 該機器上的OpenSSL不須要升級。

2）CentOS原生版,6.2/6.3; 默認是安全的,若是安裝有帶漏洞版本,須要再升級一次到最新版本
yum install openssl
Centos系統確認OpenSSL是否有漏洞的確認方法:
# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS
以上訊息表示已經修復漏洞

3）Ubuntu12.4 默認是安全的, 若是安裝有帶漏洞的版本, ,須要再升級一次到最新版本
apt-get update
apt-get install libssl1.0.0
ubuntu系統確認OpenSSL是否存在漏洞的方法:
root@jimmyli-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version
Version: 1.0.1-4ubuntu5.12

Centos系統解決方法二：

yum search openssl

#返回

Updating:

openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M

Updating for dependencies:

openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M

看起來版本仍是比較新的，遂直接

yum install openssl

#而後重啓nginx

/etc/init.d/nginx restart

#測試漏洞已修復

OpenSSL終極升級方法：
原本想源碼編譯安裝的，由於以上過程便已修復，就沒編譯，若是yum方法不行，嘗試如下安裝：
官方下載：
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz

cd openssl-1.0.1g

./config

make && make install
編譯安裝。
/etc/init.d/nginx restart #重啓nginx

完成漏洞修補。

[End]

相關標籤/搜索