漏洞详情
OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。
影响范围
OpenSSL 1.1.1 ~ 1.1.1h
OpenSSL 1.0.2 ~ 1.0.2w
修复
注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
| 修复方案
1.直接到openssl官网下载以下安全版本后自编译安装: OpenSSL 1.1.1i、OpenSSL 1.0.2x 检测方法:执行openssl version查看版本信息 2.centos用户需要等待官方发布可用修复版本后进行升级; 3.ubuntu用户,官方已经发布部分可用修复版本,目前UCloud云官方已经更新了的软件源,您可以进行升级修复:
操作系统 修复版本 Ubuntu 21.04 (Hirsute Hippo) Pending (1.1.1f-1ubuntu5) Ubuntu 20.10 (Groovy Gorilla) Released (1.1.1f-1ubuntu4.1) Ubuntu 20.04 LTS (Focal Fossa) Released (1.1.1f-1ubuntu2.1) Ubuntu 18.04 LTS (Bionic Beaver) Released (1.1.1-1ubuntu2.1~18.04.7) Ubuntu 16.04 LTS (Xenial Xerus) Released (1.0.2g-1ubuntu4.18) Ubuntu 14.04 ESM (Trusty Tahr) 未发布 Ubuntu 12.04 ESM (Precise Pangolin) 未发布
4.debian用户,官方已经发布部分可用修复版本,目前UCloud云官方已经更新了的软件源,您可以进行升级修复:
操作系统 版本 状态 openssl (PTS) stretch (security), stretch 1.1.0l-1~deb9u1 vulnerable buster (security) 1.1.1d-0+deb10u4 fixed bullseye 1.1.1h-1 vulnerable sid 1.1.1i-1 fixed openssl1.0 (PTS) stretch 1.0.2u-1~deb9u1 vulnerable stretch (security) 1.0.2u-1~deb9u2 vulnerable 参考链接 https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971 https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971 https://access.redhat.com/security/cve/cve-2020-1971 https://ubuntu.com/security/CVE-2020-1971 https://security-tracker.debian.org/tracker/CVE-2020-1971
|
一、升级需要几个组件
1 2
| yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel yum install -y pam* zlib*
|
二、下载openssl的包
1 2
| https://ftp.openssl.org/source/ openssl-1.1.1i.tar.gz
|
三、开始安装openssl
3.1、备份下面文件或目录
1 2
| cp -R /usr/bin/openssl /usr/bin/openssl_bak cp -R /usr/include/openssl /usr/include/openssl_bak
|
3.2、编译安装新版本的openssl
1 2 3 4 5 6 7
| tar -zxvf openssl-1.1.1i.tar.gz cd openssl-1.1.1i ./config shared && make && make install ln -s /usr/local/bin/openssl /usr/bin/openssl ln -s /usr/local/ssl/include/openssl /usr/include/openssl echo "/usr/local/lib64" >> /etc/ld.so.conf /sbin/ldconfig
|
3.3、验证
1 2
| openssl version OpenSSL 1.1.1i 8 Dec 2020
|