升級openssl

依賴openssl的軟件，如果是靜態(tài)編譯openssl，那么需要重新編譯軟件，如果是利用openssl的so動態(tài)庫，那么只需要替換一下so文件并重啟軟件即可

openssh也依賴openssl

參考文章

http://www.111cn.net/sys/CentOS/61326.htm

http://bguncle.blog.51cto.com/3184079/1392870/

http://www.cnblogs.com/doomsword/p/3654131.html

http://baike.baidu.com/link?url=-JPAJup4lhmkzO__PjR9IeyHzJ46WjSHYQQSxaQYOxnjc2DVrkzJHRV5M56vhFgiif7Ir_-9spu2mgj8VtMXMq

今天用rkhunter檢測了一下服務(wù)器，檢測結(jié)果報：openssl版本太低

# grep? -i OpenSSL /var/log/rkhunter.log

[13:43:50]???? Checking for string '/usr/include/openssl'??? [ Not found ]

[13:44:11]?? Checking version of OpenSSL???????????????????? [ Warning ]

[13:44:11] Warning: Application 'openssl', version '1.0.1e', isout of date, and possibly a security risk.

ln -s /usr/local/ssl/bin/openssl? /usr/bin/openssl????????????? 靜態(tài)編譯用? 靜態(tài)庫

ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so? 動態(tài)編譯用?? 動態(tài)庫

strings /usr/lib64/libssl.so.10 |grep -i openssl

OpenSSLDie

OPENSSL_cleanse

OPENSSL_DIR_read

OPENSSL_DIR_end

OPENSSL_init_library

OPENSSL_1.0.1OPENSSL_1.0.1_EC

SSLv2 part of OpenSSL1.0.1e-fips 11 Feb 2013SSLv3 part of OpenSSL1.0.1e-fips 11 Feb 2013TLSv1 part of OpenSSL1.0.1e-fips 11 Feb 2013DTLSv1 part of OpenSSL1.0.1e-fips 11 Feb 2013OpenSSL1.0.1e-fips 11 Feb 2013

rpm -ql openssl/usr/bin/openssl/usr/lib64/libcrypto.so.1.0.1e/usr/lib64/libcrypto.so.10

/usr/lib64/libssl.so.1.0.1e/usr/lib64/libssl.so.10

/usr/lib64/openssl

http://baike.baidu.com/link?url=-JPAJup4lhmkzO__PjR9IeyHzJ46WjSHYQQSxaQYOxnjc2DVrkzJHRV5M56vhFgiif7Ir_-9spu2mgj8VtMXMq

Heartbleed漏洞之所以得名，是因為用于.

安全傳輸層協(xié)議(TLS)及

數(shù)據(jù)包傳輸層安全協(xié)議(DTLS)

的 Heartbeat擴展存在漏洞。

Heartbeat擴展為TLS/DTLS提供了一種新的簡便的連接保持方式，但由于OpenSSL 1.0.2-beta與OpenSSL 1.0.1在處理TLS heartbeat擴展時的邊界錯誤，

攻擊者可以利用漏洞披露連接的客戶端或服務(wù)器的存儲器內(nèi)容，導(dǎo)致攻擊者不僅可以讀取其中機密的加密數(shù)據(jù)，還能盜走用于加密的密鑰

受影響的OpenSSL版本：

最后更新于2014年4月9日，據(jù)Heartbleed和OpenSSL網(wǎng)站上的信息。[8]

受影響：

OpenSSL 1.0.2-beta[8]

OpenSSL 1.0.1 - OpenSSL 1.0.1f[8]

除非針對CVE-2014-0160的操作系統(tǒng)補丁已經(jīng)安裝，而沒有更改庫版本，如Debian、Red Hat Enterprise Linux(及其派生版，如CentOS、Amazon Linux)或Ubuntu(及其派生版，如Linux Mint)。

不受影響：

OpenSSL 1.0.2-beta2(將來版本)[8]

OpenSSL 1.0.1g[8]

OpenSSL 1.0.0(及1.0.0的分支版本)[8]

OpenSSL 0.9.8(及0.9.8的分支版本)[8]

要解決此漏洞，建議服務(wù)器管理員或使用1.0.1g版，或使用-DOPENSSL_NO_HEARTBEATS選項重新編譯OpenSSL，從而禁用易受攻擊的功能，直至可以更新服務(wù)器軟件。[8] .

單獨應(yīng)用這個補丁并不能修復(fù)漏洞。還必須重新啟動相關(guān)服務(wù)和/或重啟服務(wù)器，這樣修補過的OpenSSL才能被應(yīng)用，然后重新生成所有的私鑰和密碼。[8]

鑒于openssl 1.0.1的安全漏洞, 現(xiàn)在都升級1.0.1g版本的openssl了, 這里記錄下升級流程.0. 先查看當(dāng)前安裝的版本ssh -V 查看ssh版本

openssl version-a 查看openssl版本1. 首先到官網(wǎng)下載新版的源碼包

openssh: http://www.openssh.com/portable.html 這里, 官網(wǎng)上找到的下載有兩種, 一種是直接下載OpenBSD的(附帶openssh, 顯然不是我等需要的), 另外一種就是這種portable版的

openssl: http://www.openssl.org/source/

2. 先安裝openssl, 一定記得加上--shared選項, 否則openssh編譯的時候會找不到新安裝的openssl的library, 會報錯: openssl的 header和library版本不匹配

./config --prefix=/usr --sharedmake

maketestmake install完畢后查看openssl版本安裝是否正確3. 安裝openssh

./configure --prefix=/usr --with-pam --with-zlib --with-md5-passwordsmake

make install這種安裝會把sshd的配置文件放在/usr/etc/sshd_config

需要重啟sshd服務(wù)并且重新登錄shell, 才能查看openssh是否已經(jīng)安裝新版本, 建議先保留安裝openssh的這個shell, 另開一個shell測試, 防止設(shè)置錯誤導(dǎo)致服務(wù)器無法連接

相關(guān)軟件下載地址Apache：http://httpd.apache.org/

Nginx：http://nginx.org/en/download.html

OpenSSL：http://www.openssl.org/

openssl-poc

附件說明PoC.py : 漏洞利用測試PoC腳本

showssl.pl：OpenSSL動態(tài)庫版本檢測腳本

安裝OpenSSL步驟

由于運營環(huán)境不同，以下過程僅供參考。openssl屬于系統(tǒng)應(yīng)用，被較多應(yīng)用依賴，由于環(huán)境不同等因素，請先在測試環(huán)境進行充分測試。

從官方下載最新版本的opensssl庫

wget https://www.openssl.org/source/openssl-1.0.1g.tar.gz

解壓下載的openssl壓縮包

tar -zxvf openssl-1.0.1g.tar.gz

進入解壓后的openssl文件夾

cd openssl-1.0.1g

執(zhí)行文件夾中的config文件，這里openssl的安裝目錄默認是/usr/local/ssl(由于系統(tǒng)環(huán)境差異路徑可能不一致，下同)，注意添加zlib-dynamic參數(shù)，使其編譯成動態(tài)庫

代碼如下

復(fù)制代碼

./config shared zlib-dynamic

config完成后執(zhí)行 make 命令

make

make 命令執(zhí)行完后再執(zhí)行 make install 命令，安裝openssl

make install

重命名原來的openssl命令

mv /usr/bin/openssl? /usr/bin/openssl.old

重命名原來的openssl目錄

mv /usr/include/openssl? /usr/include/openssl.old

將安裝好的openssl 的openssl命令軟連到/usr/bin/openssl

ln -s /usr/local/ssl/bin/openssl? /usr/bin/openssl

將安裝好的openssl 的openssl目錄軟連到/usr/include/openssl

ln -s /usr/local/ssl/include/openssl? /usr/include/openssl

修改系統(tǒng)自帶的openssl庫文件，如/usr/local/lib64/libssl.so(根據(jù)機器環(huán)境而定) 軟鏈到升級后的libssl.so

ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so

執(zhí)行命令查看openssl依賴庫版本是否為1.0.1g：

strings /usr/local/lib64/libssl.so |grep OpenSSL

在/etc/ld.so.conf文件中寫入openssl庫文件的搜索路徑

echo "/usr/local/ssl/lib" >> /etc/ld.so.conf

使修改后的/etc/ld.so.conf生效

ldconfig -v

查看現(xiàn)在openssl的版本是否是升級后的版本

openssl version

更新Webserver的 OpenSSL依賴庫

如果webserver在安裝編譯時加載了openssl，還需對webserver進行重啟或者重新編譯操作。因webserver安裝時分為動態(tài)編譯和靜態(tài)編譯openssl兩種方式，所以具體操作方式也不同。

判斷webserver是否為動態(tài)編譯ssl的兩種方法

通過ldd命令查看依賴庫

ldd查看程序依賴庫，存在libssl.so則為動態(tài)編譯ssl(如上圖)，反之為靜態(tài)(如下圖)：

查看編譯參數(shù)

如輸入以命令/usr/sbin/nginx -V，查看nginx的編譯參數(shù)，參數(shù)中不存在--with-openssl則為動態(tài)編譯ssl的，反之為靜態(tài)：

更新OpenSSL庫a) 如果webserver是動態(tài)編譯ssl安裝的，直接重啟apache，nginx等相應(yīng)webserver服務(wù)即可。

b) 如果webserver是靜態(tài)編譯ssl安裝的，可參照以下方法更新：

apache靜態(tài)編譯ssl的情況：

源碼重新安裝apache，使用ssl靜態(tài)編譯：

執(zhí)行apache的configure文件時，除了業(yè)務(wù)需要的參數(shù)外，需要指定ssl為靜態(tài)編譯

代碼如下

復(fù)制代碼

./configure --enable-ssl=static --with-ssl=/usr/local/ssl

(openssl的安裝路徑)

安裝apache

代碼如下

復(fù)制代碼

make && make install

恢復(fù)原有apache配置，重啟服務(wù)即可

nginx靜態(tài)編譯ssl的情況：

源碼重新安裝nginx，使用ssl靜態(tài)編譯：

執(zhí)行nginx的configure文件時，除了業(yè)務(wù)需要的參數(shù)外，需要指定ssl為靜態(tài)編譯，編譯參數(shù)帶上--with-openssl便表明為靜態(tài)編譯ssl

代碼如下

復(fù)制代碼

./configure? --with-http_ssl_module --with-openssl=/usr/local/ssl

(openssl的安裝路徑)

安裝nginx

代碼如下

復(fù)制代碼

make && make install

恢復(fù)原有nginx配置，重啟服務(wù)即可

如有其他使用openssl的情況，參照apache和nginx的解決方式。

測試漏洞是否存在

使用附件PoC.py根據(jù)腳本提示檢測是否存在漏洞。

如：

測試https://192.168.0.1漏洞是否存在執(zhí)行命令如下

代碼如下

復(fù)制代碼

pythonPoC.py -p 443,8443 192.168.0.1

檢測動態(tài)庫libssl.so版本

檢測當(dāng)前進程使用的libssl.so版本

執(zhí)行附件showssl.pl檢查腳本，無信息輸出或無漏洞版本openssl輸出，表示升級成功；如輸出中有unknown，請業(yè)務(wù)自查libssl.so.1.0.0的版本是否是受影響的版本。

(詳情見附件)

代碼如下

復(fù)制代碼

#!/usr/bin/perl -w

my @listInfo = `lsof |grep libssl|awk '{print $1" "$2" "$NF}'|sort -u`;

foreachmy $info (@listInfo)

{

my ($procName, $procPid, $libPath) = split(/s/, $info);

next if (!defined($procName) || !defined($procPid)|| !defined($libPath));

my $version = `strings $libPath|grep -E "^OpenSSL [0-9]+.[0-9]+"`;

chomp $version;

if ($version =~ /s*OpenSSLs*1.0.1[a-f]{0,2}/)

{

print "$procName($procPid) : $libPath ($version).n";

}

}

檢測系統(tǒng)使用的libssl.so版本

執(zhí)行命令：

代碼如下

復(fù)制代碼

strings /usr/local/lib64/libssl.so |grep OpenSSL

查看openssl依賴庫版本是否為1.0.1g

注：/usr/local/lib64/libssl.so 路徑僅供參考，由具體機器環(huán)境決定，參考升級步驟

總結(jié)

以上是生活随笔為你收集整理的mysql 升级 openssl_升级openssl的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。