服务器之家

服务器之家 > 正文

在Linux系统上升级OpenSSL的方法

时间:2019-09-18 08:51     来源/作者:服务器之家

我是用的Centos ,目前官方说受威胁的版本是1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 。在OpenSSL 1.0.1g版本中“ Heartbleed”漏洞被修复。所有centos6.5的系统运行OpenSSL 1.0.1e (openssl-1.0.1e-16.el6_5.4) 都会受到威胁,貌似只有6.5的会受到威胁。

先查看你的openssl版本,命令如下:

   

复制代码
代码如下:
#openssl version

 

    或者

  

复制代码
代码如下:
#openssl version -a //加 -a参数会显示更详细

 

    又或

   

复制代码
代码如下:
#yum info openssl //redhat系列的可以用

 

    ubuntu 和debian 可以用下面的命令:

   

复制代码
代码如下:
#dpkg-query -l 'openssl'

 

好吧,哥用的就是OpenSSL 1.0.1f ,受威胁的版本。呵呵,真坑。不过没开启  Heartbleed ,又没设置https访问,没影响,不过还是升级下。

输入升级openssl版本的命令:

   

复制代码
代码如下:
#yum clean all && yum update "openssl*" //redhat系列可用这个

 

    

    ubuntu和debian可以使用下面的命令:

   

复制代码
代码如下:
#apt-get update
#apt-get upgrade

 

    OpenSuSE使用下面的命令:

   

复制代码
代码如下:
#zypper update

 

 

确保你安装的是openssl-1.0.1e-16.el6_5.7版本  或者更新的版本。yum源中没有这个包的话,只能自己去下载rpm包安装了。我估计是肯定有的。

为毛安装openssl-1.0.1e-16.el6_5.7 版本呢?因为这个版本已经修复了,见 http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html   
 

然后再执行以下命令,检查还有哪些进程仍然在使用被删掉的旧版本openssl库 :

   

复制代码
代码如下:
#lsof -n | grep ssl | grep DEL

 

没有就是正常了。有的话,那你就必须重新每个使用旧版本openssl库的进程了。所以,我懒得一个个重启了,又是小博客,直接重启服务器了。

 

如果可能的话,建议重新生成ssl 私钥,改密码之类的。

 

注意:还可以用下面这条命令检查你安装的这个版本的openssl时候打好了补丁,因为每次修复漏洞,打补丁后,软件包本身都会在日志(change-log)里记录这些信息。命令如下:

   

复制代码
代码如下:
# rpm -q --changelog openssl-1.0.1e | grep -B 1 CVE-2014-0160
   // CVE-2014-0160是这个漏洞的代码,可以去openssl的官网查的

 

显示:

 

复制代码
代码如下:
* Mon Apr 07 2014 Tom谩拧 Mr谩z <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

 

说明这个版本已经修复了这个漏洞。

标签:

相关文章

热门资讯

玄元剑仙肉身有什么用 玄元剑仙肉身境界等级划分
玄元剑仙肉身有什么用 玄元剑仙肉身境界等级划分 2019-06-21
华为nova5pro和p30pro哪个好 华为nova5pro和华为p30pro对比详情
华为nova5pro和p30pro哪个好 华为nova5pro和华为p30pro对比详情 2019-06-22
抖音撒撒累累是什么歌 撒撒累累张艺兴歌曲名字
抖音撒撒累累是什么歌 撒撒累累张艺兴歌曲名字 2019-06-05
男生常说24816是什么意思?女生说13579是什么意思?
男生常说24816是什么意思?女生说13579是什么意思? 2019-09-17
超A是什么意思 你好a表达的是什么
超A是什么意思 你好a表达的是什么 2019-06-06
返回顶部