2020年12月09日,360CERT监测发现 openssl 发布了 openssl 拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1971 ,漏洞等级:高危 ,漏洞评分:7.5 。
OpenSSL 在处理 EDIPartyName (X.509 GeneralName类型)时,使用的函数 GENERAL_NAME_cmp 中存在一处空指针解引用。当使用该函数进行比较的两个参数都包含 EDIPartyName 时触发该漏洞。
GENERAL_NAME_cmp 函数在OpenSSL中主要作用为以下两点
1. 比较X.509证书内的证书吊销列表和证书吊销分发节点中名称
2. 验证响应令牌时间戳的签名者名称是否和时间戳许可者的名称一致
腾讯云漏洞检测问题,需要升级OpenSSL和OpenSSH,记录12-10日升级最新版本。
###openssl升级步骤
1. wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz
2. mv openssl-1.1.1i.tar.gz /opt
3. cd /opt
4. tar -zxvf openssl-1.1.1i.tar.gz
5. cd openssl-1.1.1i/
6. ./config --prefix=/usr/local/openssl
7. ./config -t
8. make
9. make install
10.ldd /usr/local/openssl/bin/openssl
11.echo "/usr/local/openssl/lib" >>/etc/ld.so.conf
12.ldconfig -v
13.mv /usr/bin/openssl /usr/bin/openssl_old_bak
14.ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
15.which openssl
16.openssl version -a
###升级openssh步骤
1. wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.4p1.tar.gz
2. cp openssh-8.4p1.tar.gz /opt
3. cd /opt
4. tar -zxvf openssh-8.4p1.tar.gz
5. cd openssh-8.4p1/
6. mv /etc/ssh /etc/ssh_bak
7. yum install zlib-devel
8. yum install openssl-devel
9. yum -y install pam-devel
10. ./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-pam --with-ssl-dir=/usr/local/openssl --with-md5-passwords --mandir=/usr/share/man --with-zlib=/usr/local/zlib --without-hardening
11. make
12.make install
13. echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
14. mv /usr/sbin/sshd /usr/sbin/sshd_bak
15.mv /etc/sysconfig/sshd /opt
16.mv /usr/lib/systemd/system/sshd.service /opt
17. \cp -arf /usr/local/openssh/sbin/sshd /usr/sbin/sshd
18. for i in $(rpm -qa |grep openssh);do rpm -e $i --nodeps ;done
19. mv /etc/ssh/sshd_config.rpmsave /etc/ssh/sshd_config
20. mv /etc/ssh/ssh_config.rpmsave /etc/ssh/ssh_config
21. mv /etc/ssh/moduli.rpmsave /etc/ssh/moduli
22. \cp -arf /usr/local/openssh/bin/* /usr/bin/
23. \cp -arf /usr/local/openssh/sbin/sshd /usr/sbin/sshd
24. cp /opt/openssh-8.4p1/contrib/redhat/sshd.init /etc/init.d/sshd
25. chmod +x /etc/init.d/sshd
26. cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
27. systemctl daemon-reload
28. service sshd restart
29. chkconfig --add sshd
30. chkconfig --level 2345 sshd on
31. chkconfig --list
32. ssh -V
原文:https://www.cnblogs.com/duduppp/p/14113432.html