关于SSL/TLS协议信息泄露漏洞(CVE-2016-2183)处理方法
漏洞原理:
该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但OpenSSL 1.1.0发布时自带这些,默认情况下禁用密码套件。该问题在新的openssl版本中已解决。
升级步骤及命令:
联网升级
1、下载openssl安装包
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz
2、解压编译安装
tar -zxvf openssl-1.1.1c.tar.gz (解压)
cd openssl-1.1.1c
./config --prefix=/usr/local/openssl 编译文件并指定存放路径
make && make install 如果此步骤报错,需要安装gcc包。
安装成功
如果出现如下图报错使用此命令升级yum -y install gcc gcc-c++ libstdc++-devel
安装完成库文件后重新执行make && make install
mv /usr/bin/openssl /usr/bin/openssl.bak 备份
ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl 创建软连接
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig -v 设置生效
