openssl package update issue caused by cve-2022-2068 @外行中的外行

[無邊框]

215

openssl package update issue caused by cve-2022-2068

“

centos7 is at maintenance support phase2, only critical impact security issues will be patched

„

分享此文連結 //n.sfs.tw/15987

分享連結 openssl package update issue caused by cve-2022-2068@外行中的外行

(文章歡迎轉載，務必尊重版權註明連結來源)

2022-11-29 22:45:18 最後編修

2022-11-29 22:32:18 By jung

最近縣市端主機應該都收到資安通報：cve-2022-2068

主要是openssl 套件存在漏洞，要求各單位更新

但問題是，centos7專用的openssl套件，並沒有想更新的意思

因為RedHat官方認為，這個安全問題是中度，由於影響層面小

加上centos7已經進入maintenance support phase2 就是除非官方判定重大安全危險，才會釋出官方版的更新套件

可參考以下官方說法

https://access.redhat.com/security/cve/cve-2022-2068

所以如果使用yum從官方函式庫更新

你只能更新到centos7 專用的最新版openssl-1.0.2k-25.el7_9

參考以下說明：

https://git.centos.org/rpms/openssl/c/f388f3ed6717edb6838e80479c888c2b689ca3e7?branch=c7

修補了什麼呢？就是cve-2022-0778，他們認為是重大安全事件

那現在資安最大，所以網路上一查也是很多人手動更新到openssl 3以上了

不過看來長久之計，還是得換一套作業系統囉

以下紀錄手動安裝過程

1. 先取得openssl 最新版套件

我是有先更新到專用最新版openssl-1.0.2k-25.el7_9

yum update openssl

再做手動更新

cd /usr/src/

wget https://www.openssl.org/source/openssl-3.0.7.tar.gz

2. 解壓縮

tar zxvf openssl-3.0.7.tar.gz

3. 安裝編譯用的套件

yum install perl-IPC-Cmd perl-Test-Simple

4. 手動編譯

cd openssl-3.0.7/

./config

make

make test

make install

到這邊沒問題就算是完成一半了

5. 更新套件連結，主要是讓系統內部程式改用新版openssl

ln -s /usr/local/lib64/libssl.so.3 /usr/lib64/libssl.so.3

ln -s /usr/local/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3

6. 到這邊遇到的問題就是用tar安裝的套件，系統不認得，我發現要把centos7內建的改名，再連結到新版的

我做了重開機，使用openssl version還是顯示舊版本

有位大神開示說，要先yum update再重新啟動，這我還沒試，因為要重開機，告警就會一直跳訊息...

我是到bin把系統內的改名，再把新版套件做軟連結到原本路徑下

cd /usr/bin/

mv openssl openssl_1.0.2k

ln -s /usr/local/bin/openssl /usr/bin/openssl

目前做到這樣...

END

你可能感興趣的文章

在IDEA從JDK8升級到JDK11遇到的奇怪問題在IDEA遇到的JAVA11函式庫引入問題

how to make wicket web application runs under docker enviorment with correct encoding 在docker環境下，wicket web application 編碼錯誤的問題

using google Appscript to send messages through LINE NOTIFY 使用google app script傳送LINE NOTIFY

testing gitlab and jenkins CI/CD on docker-1 在docker架設gitlab, jenkins 測試CI/CD pipeline第一章

在intellij IDEA解決檔案內容顯示為UTF-8字碼而不是中文的問題 how to show correct language content of file, instead of utf-8 encoded charactors

更新java版本後一定要做的事情 how to deal with PKIX path building failed issue after upgrade java sdk version in IDE

我有話要說

訪客留言

[無留言]

隨機好文

[網管心得]qnap＋proxmox 韌體更新及nfs掛載或變更

nginx+ssl+certbot安裝設定雜記 using certbot on nginx to setup https connection

使用virtualbox每次都忘記的事情 share folder from win host to linux guest vm

被蘋果帳號釣魚網站詐騙的心得請小心小額電信代收費詐騙

更新程式環境到wildfly18+openjdk11-phase1: upgrade mongodb server 更新程式環境到wildfly18+openjdk11-phase1: upgrade mongodb server to version 3.6

到最底端