關於SSL/TLS協議信息泄露漏洞(CVE-2016-2183)處理方法
漏洞原理:
該漏洞又稱為SWEET32(https://sweet32.info)是對較舊的分組密碼算法的攻擊,它使用64位的塊大小,緩解SWEET32攻擊OpenSSL 1.0.1和OpenSSL 1.0.2中基於DES密碼套件從“高”密碼字符串組移至“中”;但OpenSSL 1.1.0發布時自帶這些,默認情況下禁用密碼套件。該問題在新的openssl版本中已解決。
升級步驟及命令:
聯網升級
1、下載openssl安裝包
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz
2、解壓編譯安裝
tar -zxvf openssl-1.1.1c.tar.gz (解壓)
cd openssl-1.1.1c
./config --prefix=/usr/local/openssl 編譯文件並指定存放路徑
make && make install 如果此步驟報錯,需要安裝gcc包。
安裝成功
如果出現如下圖報錯使用此命令升級yum -y install gcc gcc-c++ libstdc++-devel
安裝完成庫文件后重新執行make && make install
mv /usr/bin/openssl /usr/bin/openssl.bak 備份
ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl 創建軟連接
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig -v 設置生效
