漏洞:OpenSSL拒绝服务漏洞(CVE-2020-1971)
背景:2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。建议受影响的OpenSSL用户尽快采取安全措施阻止漏洞攻击。
等级:高危
受影响的版本:
OpenSSL 1.1.1 ~ 1.1.1h
OpenSSL 1.0.2 ~ 1.0.2w
安全版本:
OpenSSL 1.1.1i
OpenSSL 1.0.2x
修复方法:升级openssl到最新版本
环境:centos7.6
青橙科技提供详细升级步骤:
1:首先查看原来的openssl版本
[qckj@VM_centos ~]#openssl version
2:下载最新版
[qckj@VM_centos ~]#wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz
3:解压编译安装并设置生效
[qckj@VM_centos ~]#tar -zxvf openssl-1.1.1i.tar.gz
[qckj@VM_centos ~]#cd openssl-1.1.1i.tar.gz
[qckj@VM_centos ~]#./config --prefix=/usr/local/openssl
[qckj@VM_centos ~]#make && make install
[qckj@VM_centos ~]#mv /usr/bin/openssl /usr/bin/openssl.bak
[qckj@VM_centos ~]#ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
[qckj@VM_centos ~]#echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
[qckj@VM_centos ~]#ldconfig -v
4:检查是否升级成功
如上图所示已经升级到目前官方最新的1.1.1i版本,再次扫描漏洞发现已经修复成功!