当前位置: 首页 > news >正文

CentOS linux 安装openssl(openssl拒绝服务漏洞【CVE-2022-0778】解决)

news 2025/6/29 5:04:36

一、安装

1.下载相关openssl包

下载地址: https://www.openssl.org/source/

2.将下载好的压缩包放到 /app/server/nginx 路径下(根据自己实际需求定义)

3.切换至该路径

cd /app/server/nginx

4.压缩包解压

压缩包解压 :tar -zxvf openssl-3.0.0.tar.gz

5.切换到解压后的路劲

cd openssl-3.0.0

6.查看一下原安装版本

openssl version -a

7.设置配置

./config --prefix=/usr/local/openssl3.0.0 --openssldir=/usr/local/openssl3.0.0 shared zlib

①可能出现错误

1)安装gcc(编译依赖 gcc 环境)

yum install gcc-c++

2)安装 PCRE pcre-devel (包括 perl 兼容的正则表达式库)

yum install -y pcre pcre-devel

3)安装zlib(对 http 包的内容进行 gzip)

yum install -y zlib zlib-devel

②还可能出现的错误

Cant’t locate IPC/Cmd.pm …

需安装perl-IPC-Cmd包

执行命令

yum -y install perl-IPC-Cmd

8.编译安装(编译安装完不报错将会安装到 /usr/local/openssl3.0.0)

make
make install

二、配置链接库

1.在目录/etc/ld.so.conf.d目录下创建一个名为openssl-3.0.0.conf的文件

cd /etc/ld.so.conf.d
vim openssl-3.0.0.conf

2.输入(i:启用编辑,esc:退出编辑,:wq:保存退出,:q!:不保存退出)

/usr/local/openssl3.0.0/lib64

3.创建软链接

ln -s /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/
ln -s /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/

若报已存在(File exist),则进行覆盖

ln -sf /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/ln -sf /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/

4.重新加载动态链接

ldconfig -v

三、配置环境变量

1.备份旧的配置(/usr/bin/openssl为上个版本安装路径,此处为系统默认路径)

mv /usr/bin/openssl /usr/bin/openssl.backup

2.创建环境变量文件

vim /etc/profile.d/openssl.sh

3.写入

#Set OPENSSL_PATH
OPENSSL_PATH="/usr/local/openssl3.0.0/bin"
export OPENSSL_PATH
PATH=$PATH:$OPENSSL_PATH
export PATH

4.执行openssl.sh 文件,并输出环境变量

chmod +x /etc/profile.d/openssl.sh
source /etc/profile.d/openssl.sh
echo $PATH

5.检查OpenSSL位置

which openssl

6.检查系统配置

openssl version -a

2022-03-15

openssl出现拒绝服务漏洞【CVE-2022-0778】

由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。

影响范围:

OpenSSL版本1.0.2:1.0.2-1.0.2zc

OpenSSL版本1.1.1:1.1.1-1.1.1m

OpenSSL版本 3.0:3.0.0、3.0.1

官方修复提交记录:

https://github.com/openssl/openssl/commit/9eafb53614bf65797db25f467946e735e1b43dc9#

解决办法:

openssl3.0.0升级到->openssl3.0.2

与上述安装步骤一致(将其中的其中openssl3.0.0修改为openssl3.0.2)

其中注意事项:

  • 创建软链接时,需进行覆盖

  • ln -sf /usr/local/openssl3.0.2/lib64/libssl.so.3 /usr/lib64/
ln -sf /usr/local/openssl3.0.2/lib64/libcrypto.so.3 /usr/lib64/

  • 备份时,需将路径修改为上次安装openssl的路径

  • mv /usr/local/openssl3.0.0 /usr/bin/openssl.backup

  • 升级完毕后,如果使用的nginx做服务分发代理,nginx需重新编译安装,其中openssl依赖路径修改为最新路径(nginx安装可看:CentOS linux安装nginx)

结束

http://www.lryc.cn/news/419151.html

相关文章:

  • 假如有一个嵌套集合,怎么通过stream流将集合放到一个集合之中?
  • flutter doctor出现 Unable to find bundled Java version
  • Linux系统修改root密码
  • AI时代,我们还可以做什么?
  • 【生成式人工智能-十-文字、图片、声音生成策略】
  • git pull 注意事项
  • 拥抱变革:旗晟智能巡检机器人系统重塑高风险行业巡检模式
  • 监听器——监听着我们WEB项目中的域对象
  • cs使用说明
  • skynet 连接redis
  • quark-design 原生引入使用说明
  • UE开发中的设计模式(二) —— 中介者模式
  • 安卓应用开发学习:聚合数据API获取天气预报
  • 设计模式 - 抽象工厂模式
  • 塔子哥选数字-阿里淘天2024笔试(codefun2000)
  • 【leetcode】杨辉三角(Java语言描述)
  • Vue - 关于vue-kinesis 移动动画组件
  • leetCode- - - 链表
  • Ashok:一款多功能开源网络侦查OSINT工具
  • 没有获取淘宝API的资质怎么获取淘宝数据
  • SQL手工注入
  • 【SQL】大的国家
  • 8月5日学习笔记 glibc安装与安全用户角色权限
  • DrissionPage 一个替代selenium的pip --- 一个可以接管正在运行的chrome包
  • 爬虫入门--了解相关工具
  • django项目中通用的分页组件
  • 想实现ubuntu搭建sqli-labs靶场
  • tp8 按日期分组查出数据
  • 单例模式(懒汉模式,饿汉模式)
  • 【Qt】Item Widgets 多元素控件