升级原因

OpenSSL项目发布1.1.1k版本来修复两个高严重性缺陷

OpenSSL项目发布了1.1.1k版本,以解决两个高严重性漏洞,分别跟踪为CVE-2021-3450和CVE-2021-3449。

通过从客户端发送精心编制的重新协商Clientsello消息,可以利用CVE-2021-3449漏洞触发DoS条件。

“如果从客户端发送精心编制的重新协商Clientsello消息,OpenSSL TLS服务器可能会崩溃。如果TLSv1.2重新协商Clientsello省略签名u算法扩展(在初始Clientsello中存在),但包含签名u算法证书扩展,则将导致空指针取消引用,导致崩溃和拒绝服务攻击”,则说明该建议。

此问题影响运行TLS 1.2并启用重新协商的OpenSSL 1.1.1版本的服务器,这是默认配置。该漏洞由诺基亚的PeterKästle和SamuelSapalski报告。

CVE-2021-3450漏洞与使用X509_UV_U标志u X509u严格标志与证书链的验证有关。

“The X509_V_FLAG_X509_STRICT 标志允许对证书链中存在的证书进行额外的安全检查。默认情况下未设置。从OpenSSL版本1.1.1h开始,添加了一个检查,以禁止在链中显式编码椭圆曲线参数的证书,作为额外的严格检查添加。“此检查的实现意味着,先前检查的结果将被覆盖,以确认链中的证书是有效的CA证书。这有效地绕过了非CA证书不能颁发其他证书的检查

Akamai的BenjaminKaduk和项丁报告了该漏洞。

2021年2月,OpenSSL项目发布了安全补丁,以解决三个漏洞、两个拒绝服务(DoS)缺陷和错误的SSLv2回滚保护问题。

获取

创建目录

mkdir openup 
cd openup
mkdir gcc perl 

获取openssl

cd openup 
wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz

获取gcc

cd gcc
yum install --downloadonly --downloaddir=./  gcc gcc-gfortran   gcc-c++  make  -y

获取 perl-CPAN

cd perl 
yum install --downloadonly --downloaddir=./  perl-CPAN -y

安装

cd perl
yum install ./* -y

cd gcc 
yum install ./* -y 


tar -zxvf  openssl-1.1.1k.tar.gz
cd openssl-1.1.1k
make && make install

#完成后重启
reboot

验证

openssl  version -a 
OpenSSL 1.1.1k  25 Mar 2021 (Library: OpenSSL 1.1.1g FIPS  21 Apr 2020)
最后修改:2021 年 04 月 13 日 11 : 35 AM
如果觉得我的文章对你有用,请随意赞赏