Linux手动升级OpenSSL

2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。

查看现有版本

openssl version

输出:

OpenSSL 1.0.2g 1 Mar 2016

备份旧版本

mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old

更新OpenSSL

  1. 下载
wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz
  1. 解压
tar -zxvf openssl-1.1.1i.tar.gz
  1. 编译安装
cd openssl-1.1.1i
./config
make && make install
  1. 设置软连接
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
  1. 设置动态地址库
echo '/usr/local/openssl/lib' > /etc/ld.so.conf.d/openssl-ld.conf

再次查看版本

openssl version

输出:

OpenSSL 1.1.1i 8 Dec 2020 (Library: OpenSSL 1.1.1d 10 Sep 2019)