关于Open SSL高危漏洞整改操作 -- SUSE Linux 整改措施
1、背景信息
对于不同的操作系统,OpenSSL整改建议如下:
查询版本方法:
SuSE操作系统版本查询方法:
# cat /etc/SuSE-release
SUSE Linux Enterprise Server 11 (x86_64)
VERSION = 11
PATCHLEVEL = 1
OpenSSL版本查询方法:
linux:/ # rpm -qa | grep ssl
openssl-certs-0.9.8h-27.1.30
libopenssl0_9_8-0.9.8j-0.44.1
libopenssl0_9_8-32bit-0.9.8j-0.44.1
openssl-0.9.8j-0.44.1
将查询到的OpenSSL版本与对应操作系统建议升级的OpenSSL目标版本做比较,从左至右依次比较数字和字母,第一个出现的不同数字或字母较大的版本高(z>a)。示例中查询的OpenSSL版本为0.9.8j-0.44.1,低于openssl-0.9.8j-0.58.1版本,涉及整改。
2、OpenSSL升级前备份
如果考虑到升级后可能要回退,则需要对当前版本进行备份,正常情况下无需回退至老版本。
3、OpenSSL升级操作
操作步骤
① 创建“/opt/sslupdate”目录存放SSL补丁包。
linux: #mkdir –p /opt/sslupdate
linux:/opt/sslupdate #cd /opt/sslupdate
② 将与操作系统版本对应的补丁包上传至“/opt/sslupdate”目录下。
③ 在“/opt/sslupdate”目录下解压tar类型的补丁包。
SUSE11:
linux:/opt/sslupdate#tarzxvfopenssl-0.9.8j-0.58.1.x86_64_suse11sp1.tar.gz
SUSE10:
linux:/opt/sslupdate#tarzxvfopenssl-0.9.8a-18.39.6.7009.2.PTF.880891.x86_64_suse10sp1sp2.tar.gz
④ 执行补丁安装命令(此处以suse11为例)。
linux:/opt/sslupdate # cd openssl-0.9.8j-0.58.1.x86_64_suse11sp1
linux:/opt/sslupdate/openssl-0.9.8j-0.58.1.x86_64_suse11sp1# rpm -Uvh *.rpm
若升级前系统中未安装相应的包,则升级过程中不会对相应的补丁包进行安装。
⑤ 检查升级后的SSL版本:
linux: # rpm -qa | grep readline
linux: # rpm -qa | grep ssl
如果显示包的版本与安装包的版本一致,则安装成功。
4、OpenSSL回退操作
SUSE10与SUSE11方法相同,(sslbackup为备份的原ssl版本信息目录)
① 进入suse11系统中OpenSSL的备份目录。
linux # cd /opt/sslbackup/x86_64/
linux:/opt/sslbackup/x86_64 # ls
② 安装备份的OpenSSL包。
linux:/opt/sslbackup/x86_64 # rpm -Uvh *.rpm --force
③ 检查OpenSSL版本是否和之前一致。
linux:/opt/sslbackup/x86_64 # rpm -qa | grep openssl
linux:# cat /opt/sslbackup/ssl_version.txt //备份文件
如上示例显示OpenSSL版本已成功回退至0.9.8j-0.44.1。
本文是万方安全研究院原创文章,
转载请标明出处:http://www.dengjibaohu.org/dbzg/165.html