漏洞：OpenSSL拒绝服务漏洞(CVE-2020-1971)

背景：2020年12月08日，OpenSSL官方发布安全公告，披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时，由于GENERAL_NAME_cmp函数未能正确处理，从而导致空指针引用，并可能导致拒绝服务。OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。建议受影响的OpenSSL用户尽快采取安全措施阻止漏洞攻击。

等级：高危

受影响的版本：
OpenSSL 1.1.1 ～ 1.1.1h
OpenSSL 1.0.2 ～ 1.0.2w
安全版本：
OpenSSL 1.1.1i
OpenSSL 1.0.2x

修复方法：升级openssl到最新版本

环境：centos7.6

青橙科技提供详细升级步骤：

1：首先查看原来的openssl版本

[qckj@VM_centos ~]#openssl version  

2：下载最新版

[qckj@VM_centos ~]#wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz

3：解压编译安装并设置生效

[qckj@VM_centos ~]#tar -zxvf openssl-1.1.1i.tar.gz
[qckj@VM_centos ~]#cd openssl-1.1.1i.tar.gz
[qckj@VM_centos ~]#./config --prefix=/usr/local/openssl

[qckj@VM_centos ~]#make && make install
[qckj@VM_centos ~]#mv /usr/bin/openssl /usr/bin/openssl.bak
[qckj@VM_centos ~]#ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
[qckj@VM_centos ~]#echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
[qckj@VM_centos ~]#ldconfig -v

4：检查是否升级成功

如上图所示已经升级到目前官方最新的1.1.1i版本，再次扫描漏洞发现已经修复成功！