OpenSSL拒绝服务漏洞

下载地址：https://www.openssl.org/source/

方法:升级openssl版本

关于OpenSSL拒绝服务漏洞的预警通报
近日，OpenSSL版本1.0.2、1.1.1和3.0中的拒绝服务漏洞已被修复。OpenSSL作为使用最广泛的加密库之一，预装在各主流Linux发型版之中，如Ubuntu、Debian、Redhat、CentOS、SUSE等平台。目前漏洞细节及POC（观点验证程序）已公开，请各单位尽快对照排查相关内容，采取有效安全措施，防范该漏洞可能造成的服务异常等安全隐患。
二、漏洞影响范围
OpenSSL版本1.0.2：1.0.2-1.0.2zc
OpenSSL版本1.1.1：1.1.1-1.1.1m
OpenSSL版本3.0：3.0.0、3.0.1
三、漏洞修复建议
OpenSSL官方渠道已发布新版本修复漏洞，建议受影响用户及时升级更新，详细信息如下：
OpenSSL1.0.2用户应升级至1.0.2zd（仅限高级支持用户）
OpenSSL1.1.1用户应升级至1.1.1n
OpenSSL3.0用户应升级至3.0.2
下载链接：
<https://www.openssl.org/source/>
git：
<https://github.com/openssl/openssl/tags>

升级步骤：

0、安装依赖：

yum install -y zlib zlib-dev openssl-devel sqlite-devel bzip2-devel libffi libffi-devel gcc gcc-c++

1、备份当前openssl：

mv /usr/local/openssl /usr/local/openssl.bak
​
mv /usr/include/openssl /usr/include/openssl.bak

2、解压并进入解压目录后执行：

./config --prefix=/usr/local/openssl shared zlib
make depend
make && make install
#此时/usr/local/下有了新的openssl

3、配置使用新版本：

#配置软链接
ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
​
ln -sf /usr/local/openssl/include/openssl /usr/include/openssl

4、更新动态链接库数据：

echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
​
#重新加载动态链接库
ldconfig -v

5、重新查看版本号：

openssl version

故障排查：

如果在更新完后执行openssl version 命令报错如下：

这是由于openssl库的位置不正确造成的。可以做一个软连接：

ln -sf /usr/local/openssl/lib/libssl.so.1.1 /usr/lib/
​
ln -sf /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib/
​
#重新加载动态链接库
ldconfig -v

然后执行openssl version命令即可