漏洞：OpenSSL拒絕服務(wù)漏洞(CVE-2020-1971)

背景：2020年12月08日，OpenSSL官方發(fā)布安全公告，披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒絕服務(wù)漏洞。當(dāng)兩個GENERAL_NAME都包含同一個EDIPARTYNAME時，由于GENERAL_NAME_cmp函數(shù)未能正確處理，從而導(dǎo)致空指針引用，并可能導(dǎo)致拒絕服務(wù)。OpenSSL是一個開放源代碼的軟件庫包，應(yīng)用程序可以使用這個包來進行安全通信，避免竊聽，同時確認另一端連接者的身份。這個包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁服務(wù)器上。建議受影響的OpenSSL用戶盡快采取安全措施阻止漏洞攻擊。

等級：高危

受影響的版本：
OpenSSL 1.1.1 ～ 1.1.1h
OpenSSL 1.0.2 ～ 1.0.2w
安全版本：
OpenSSL 1.1.1i
OpenSSL 1.0.2x

修復(fù)方法：升級openssl到最新版本

環(huán)境：centos7.6

青橙科技提供詳細升級步驟：

1：首先查看原來的openssl版本

[qckj@VM_centos ~]#openssl version  

2：下載最新版

[qckj@VM_centos ~]#wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz

3：解壓編譯安裝并設(shè)置生效

[qckj@VM_centos ~]#tar -zxvf openssl-1.1.1i.tar.gz
[qckj@VM_centos ~]#cd openssl-1.1.1i.tar.gz
[qckj@VM_centos ~]#./config --prefix=/usr/local/openssl

[qckj@VM_centos ~]#make && make install
[qckj@VM_centos ~]#mv /usr/bin/openssl /usr/bin/openssl.bak
[qckj@VM_centos ~]#ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
[qckj@VM_centos ~]#echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
[qckj@VM_centos ~]#ldconfig -v

4：檢查是否升級成功

如上圖所示已經(jīng)升級到目前官方最新的1.1.1i版本，再次掃描漏洞發(fā)現(xiàn)已經(jīng)修復(fù)成功！