网上不少文档说怎么升级openssl,经过实际测试发现都是假升级,也就是openssl的命令工具本身升级,SSL动态链接库是没有升级的,
如出现openssl漏洞,想要升级到最新的版本规避,无法通过普通的模式升级达到规避漏洞的效果,因为linux ld工具并不会将新编译出来的so链接到其他应用当中去,比如已经编译好的nginx,此时要全部重新编译,个人进行了一些测试和分析,可以有一种方法可以实现,记录一下。
注意:1.1.1版本和1.02版本的差异比较大,如果只是为了修复补丁,建议1.02最新版本即可,强制升到1.1.1没测试,但是隐隐的感觉不太好。
实际步骤记录为:
1.下载软件包:
https://www.openssl.org/source/old/1.0.2/openssl-1.0.2u.tar.gz
2.安装编译工具
sudo yum group install 'Development Tools'
sudo yum install perl-core zlib-devel -y
3.生成版本信息文件
以下部分是其他网上文档没有提的
Linux发行版会在so动态链接库中加入版本信息,应用在启动的时候,动态连接器会根据应用ELF文件中符号表中的信息,将应用和so文件进行动态链接,如应用在编译的时候,引用的外部so文件符号表是带版本信息的,那么在ld的时候,会匹配应用符号表中的版本信息以及so文件中的版本信息是否一致,经典开源三部曲config/make all/make install出来so文并不带版本信息,所以无法被系统的其他组件调用,如果强制替换,会造成系统其他组件工作不正常。 (可能有让ld忽略版本的方法,没找到)
另外在centos中,版本和源码网站的是不一致的,比如libssl,在centos7 so符号表中的版本号为libssl.so.10,是libssl.so.1.0.2k通过ln创建了一个hlink为libssl.so.10。
下面是一种可以实现的歪门邪道:
思路是通过读取1.02k版本so的符号表信息,创建version-script 文件加入config流程,使编译出来的so文件具备和centos发行版中的so文件一致的符号版本信息,就可以被调用了,先整理原so中的符号版本,使用下面的命令:
readelf -s libssl.so.1.0.2k |grep "@@" |awk -F "@@" '{print $2}'|sort|uniq -c
readelf -s libcrypto.so.1.0.2k |grep "@@" |awk -F "@@" '{print $2}'|sort|uniq -c
整理出一共四个符号版本号,然后分别整理出所有的符号列表
获取版本为OPENSSL_1.0.1_EC 的符号列表
1.1 readelf -s libcrypto.so.1.0.2k|grep OPENSSL_1.0.1_EC|awk -F "@@" '{print $1}' | awk '{print $8";"}'
获取版本为OPENSSL_1.0.2 的符号列表
1.2 readelf -s libcrypto.so.1.0.2k|grep OPENSSL_1.0.2|awk -F "@@" '{print $1}' | awk '{print $8}'
获取版本为libssl.so.10的 符号列表:
1.3 readelf -s libssl.so.1.0.2k|grep libssl.so.10|awk -F "@@" '{print $1}' |awk '{print $8";"}'
获取版本为 libcrypto.so.10的符号列表
1.4 readelf -s libssl.so.1.0.2k|grep libcrypto.so.10 |awk -F "@@" '{print $1}' |awk '{print $8";"}'
创建version.map文件
libssl.so.10 {
global :
== 此处添加1.3部分的输出内容=
};
OPENSSL_1.0.2 {
global :
== 此处添加1.2 部分的输出内容=
};
OPENSSL_1.0.1_EC {
global :
== 此处添加1.21部分的输出内容=
}
libcrypto.so.10 {
global :
== 此处添加1.21部分的输出内容=
}
4.config&make all & make install
./config --prefix=/usr/local --openssldir=/usr/local/openssl shared -Wl,--version-script=/root/openssl-OpenSSL_1_0_2u/version.map -Wl,-Bsymbolic-functions zlib-dynamic
make all
make test
make install
此后将生成的libssl.so.1.0.0/libcrypt.so.1.0.0 拷贝到/usr/lib64
rm 掉原来的libssl.so.10/libcrypto.so.10 的hardlink ,用新的文件创建两个同名hardlink即可。
验证:
ldd nginx
linux-vdso.so.1 => (0x00007ffdd7516000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fea42795000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fea42579000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007fea42342000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fea420e0000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007fea41e6e000)
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007fea41a0d000)
libz.so.1 => /lib64/libz.so.1 (0x00007fea417f7000)
libc.so.6 => /lib64/libc.so.6 (0x00007fea4142a000)
/lib64/ld-linux-x86-64.so.2 (0x00007fea42d4e000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007fea41227000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007fea40fda000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007fea40cf2000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007fea40aee000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007fea408bb000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007fea406ad000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007fea404a9000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007fea40290000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fea40069000)
使用ltrace -l libssl.so.1.0.0 nginx 有如下的输出:
ltrace -l libssl.so.1.0.0 nginx
nginx->SSL_library_init(0x7fe5ecf64760, 0x7fe5ecf64770, 0xffffffff, 0x564af8894b00) = 1
nginx->SSL_load_error_strings(0x7fe5ed5c1be0, 0x7fe5ed6302ed, 0, 0) = 0
nginx->SSL_get_ex_new_index(0, 0, 0, 0) = 0
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 0
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 1
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 2
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 3
nginx->SSLv23_method(0x564af88fcc88, 57, 0x564af88fcc80, 0) = 0x7fe5ed841880
nginx->SSL_CTX_new(0x7fe5ed841880, 57, 0x564af88fcc80, 0) = 0x564af88f8650
nginx->SSL_CTX_set_ex_data(0x564af88f8650, 0, 0x564af88fcc80, 0x564af74c0524) = 1
nginx->SSL_CTX_set_ex_data(0x564af88f8650, 3, 0, 0) = 1
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 1, 0) = 0x1000005
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 2, 0) = 0x1000007
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 0, 0) = 0x1000007
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 32, 0) = 0x1000027
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 0, 0) = 0x1000027
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 128, 0) = 0x10000a7
说明nginx已经在没有重新编译的情况下,正常调用ssl的so。
正常来说还是等发行版的patch感觉比较合适,以上是魔改的版本,适合自己用。