點擊上方"walkingcloud"關注，并選擇"星標"公眾號

CentOS7下制作openssl1.1.1i RPM包并升級

OpenSSL最新漏洞

OpenSSL官方發布了拒絕服務漏洞風險通告，漏洞編號為CVE-2020-1971

漏洞詳情

OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，避免竊聽，同時確認另一端連接者的身份。這個包廣泛被應用在互聯網的網頁服務器上。

OpenSSL在處理EDIPartyName(X.509 GeneralName類型標識)的時候，存在一處空指針解引用，并引起程序崩潰導致拒絕服務。攻擊者可通過構造特制的證書驗證過程觸發該漏洞，并導致服務端拒絕服務。

風險等級

高

漏洞風險

漏洞被利用可能導致拒絕服務

影響版本

OpenSSL : 1.0.2-1.0.2w?

OpenSSL : 1.1.1-1.1.1h

安全版本

OpenSSL : 1.1.1i?

OpenSSL : 1.0.2x

修復建議

將OpenSSL升級到1.1.1i、 1.0.2x或最新版本?

【備注】：建議您在升級前做好數據備份工作，避免出現意外

漏洞參考

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971?

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

(圖片可放大查看)

openssl版本自查

針對該漏洞，在CentOS7當前的機器上進行自查

[root@centos?~]#?cat?/etc/redhat-release?
CentOS?Linux?release?7.9.2009?(Core)
[root@centos?~]#?
[root@centos?~]#?rpm?-aq?openssl
openssl-1.0.2k-19.el7.x86_64
[root@centos?~]#?
[root@centos?~]#?rpm?-aq?|?grep?openssl
xmlsec1-openssl-1.2.20-7.el7_4.x86_64
openssl-1.0.2k-19.el7.x86_64
openssl098e-0.9.8e-29.el7.centos.3.x86_64
openssl-libs-1.0.2k-19.el7.x86_64
[root@centos?~]#?
[root@centos?~]#?openssl?version
OpenSSL?1.0.2k-fips??26?Jan?2017
[root@centos?~]#

(圖片可放大查看)

制作OpenSSL1.1.1i rpm包

在GitHub上找到制作openssl 1.1.1i版本rpm包的腳本?

本地修改后，進行打包修改后的腳本如下install-openssl_1.1.1i.sh

#!/bin/bashset?-eset?-v
mkdir?~/openssl?&&?cd?~/openssl
yum?-y?install?\
????curl?\which?\
????make?\
????gcc?\
????perl?\
????perl-WWW-Curl?\
????rpm-build#?Get?openssl?tarball
cp?/root/openssl-1.1.1i.tar.gz?./#?SPEC?file
cat?<'EOF'?>?~/openssl/openssl.spec
Summary:?OpenSSL?1.1.1i?for?Centos
Name:?openssl
Version:?%{?version}%{!?version:1.1.1i}
Release:?1%{?dist}
Obsoletes:?%{name}?<=?%{version}
Provides:?%{name}?=?%{version}
URL:?https://www.openssl.org/
License:?GPLv2+

Source:?https://www.openssl.org/source/%{name}-%{version}.tar.gz

BuildRequires:?make?gcc?perl?perl-WWW-Curl
BuildRoot:?%{_tmppath}/%{name}-%{version}-%{release}-root
%global?openssldir?/usr/openssl

%description
OpenSSL?RPM?for?version?1.1.1i?on?Centos

%package?devel
Summary:?Development?files?for?programs?which?will?use?the?openssl?library
Group:?Development/Libraries
Requires:?%{name}?=?%{version}-%{release}

%description?devel
OpenSSL?RPM?for?version?1.1.1i?on?Centos?(development?package)

%prep
%setup?-q

%build
./config?--prefix=%{openssldir}?--openssldir=%{openssldir}
make

%install
[?"%{buildroot}"?!=?"/"?]?&&?%{__rm}?-rf?%{buildroot}
%make_install

mkdir?-p?%{buildroot}%{_bindir}
mkdir?-p?%{buildroot}%{_libdir}
ln?-sf?%{openssldir}/lib/libssl.so.1.1?%{buildroot}%{_libdir}
ln?-sf?%{openssldir}/lib/libcrypto.so.1.1?%{buildroot}%{_libdir}
ln?-sf?%{openssldir}/bin/openssl?%{buildroot}%{_bindir}

%clean
[?"%{buildroot}"?!=?"/"?]?&&?%{__rm}?-rf?%{buildroot}

%files
%{openssldir}
%defattr(-,root,root)
/usr/bin/openssl
/usr/lib64/libcrypto.so.1.1
/usr/lib64/libssl.so.1.1

%files?devel
%{openssldir}/include/*
%defattr(-,root,root)

%post?-p?/sbin/ldconfig

%postun?-p?/sbin/ldconfig
EOF


mkdir?-p?/root/rpmbuild/{BUILD,RPMS,SOURCES,SPECS,SRPMS}
cp?~/openssl/openssl.spec?/root/rpmbuild/SPECS/openssl.spec
mv?openssl-1.1.1i.tar.gz?/root/rpmbuild/SOURCEScd?/root/rpmbuild/SPECS?&&?\
????rpmbuild?\
????-D?"version?1.1.1i"?\
????-ba?openssl.spec

#?Before?Uninstall??Openssl?:???rpm?-qa?openssl#?Uninstall?Current?Openssl?Vesion?:?yum?-y?remove?openssl#?For?install:??rpm?-ivvh?/root/rpmbuild/RPMS/x86_64/openssl-1.1.1i-1.el7.x86_64.rpm?--nodeps#?Verify?install:??rpm?-qa?openssl#??????????????????openssl?version

下載openssl1.1.1i版本源碼包，并上傳到/root

https://www.openssl.org/source/openssl-1.1.1i.tar.gz

./install-openssl_1.1.1i.sh進行編譯打包?

(圖片可放大查看)

打完包后截圖如下

(圖片可放大查看)

rpm升級到openssl1.1.1i

rpm?-aq?openssl
yum?-y?remove?openssl
rpm?-ivh?/root/rpmbuild/RPMS/x86_64/openssl-1.1.1i-1.el7.x86_64.rpm?--nodeps
openssl?version

(圖片可放大查看)

(圖片可放大查看)

(圖片可放大查看)

以上就是CentOS7下制作openssl1.1.1i RPM包并升級的步驟

嘗試過git clone https://src.fedoraproject.org/rpms/openssl.git，利用openssl.spec進行rpmbuild -ba openssl.spec進行打包，未成功，后續有機會再研究

(圖片可放大查看)

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的centos7全盘备份到本地_CentOS7下制作openssl1.1.1i RPM包并升级的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。