今天碰到 SSL 加密算法的漏洞3DE的问题:
出现如下3DE 的都是有风险的:
Name Code KEX Auth Encryption MAC
---------------------- ---------- --- ---- --------------------- ---
EDH-RSA-DES-CBC3-SHA 0x00, 0x16 DH RSA 3DES-CBC(168) SHA1
ECDHE-RSA-DES-CBC3-SHA 0xC0, 0x12 ECDH RSA 3DES-CBC(168) SHA1
先检查一下openssl 的版本:openssl version:
OpenSSL 1.0.2k-fips 26 Jan 2017
然后在查一下cippers 的情况: openssl ciphers -v | grep -i 3de
发现确实有很多3DE 的:
同时check 了一下其他openssl 版本是
openssl version
OpenSSL 1.1.1 11 Sep 2018
OK, 下面开始进行openssl 升级:
1.查看openssl版本
[root@node2 openssh-8.0p1]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
2.下载指定版本的openssl软件
在下面网址:https://www.openssl.org/source/下载 后面的版本号可以换
[root@node2 opt]# wget https://www.openssl.org/source/openssl-1.1.0k.tar.gz
3.编译安装
cd openssl-1.1.0k
./config shared zlib
make && make install
4.配置
[root@node2]# mv /usr/bin/openssl /usr/bin/openssl.bak
[root@node2]# mv /usr/include/openssl /usr/include/openssl.bak
[root@node2]# find / -name openssl
[root@node2]# ln -s /usr/local/bin/openssl /usr/bin/openssl
[root@node2]# ln -s /usr/local/include/openssl /usr/include/openssl
root@node2]# echo "/usr/local/lib64/" >> /etc/ld.so.conf
[root@node2]# ldconfig
[root@node2]# openssl version -a
5.验证
[root@node2 openssl-1.1.0k]# openssl version
OpenSSL 1.1.0k 28 May 2019
--
注意:上面make 会报错:
解决方法:yum -y install gcc gcc-c++ libstdc++-devel
然后又报:fatal error zlib.h No such file or directory
解决方法:(29条消息) [问题已处理] fatal error zlib.h No such file or directory_爷来辣的博客-CSDN博客
wget http://www.zlib.net/zlib-1.2.11.tar.gz
tar zxvf zlib-1.2.11.tar.gz
cd zlib-1.2.11
./configure
make test
make install
构建共享库
make clean
./configure --shared
make test
make install
cp zutil.h /usr/local/include
cp zutil.c /usr/local/include
重新执行不会报错了
cd /tmp/openssl-1.0.2q/
./config shared zlib
make
make install
[root@node2]# mv /usr/bin/openssl /usr/bin/openssl.bak
[root@node2]# mv /usr/include/openssl /usr/include/openssl.bak
[root@node2]# find / -name openssl
[root@node2]# ln -s /usr/local/bin/openssl /usr/bin/openssl
[root@node2]# ln -s /usr/local/include/openssl /usr/include/openssl
root@node2]# echo "/usr/local/lib64/" >> /etc/ld.so.conf
[root@node2]# ldconfig
[root@node2]# openssl version -a
参考文档:
(29条消息) [问题已处理] fatal error zlib.h No such file or directory_爷来辣的博客-CSDN博客
Securing tomcat - OWASP ( 注意这个是解决 cipher 是 3DE 的关键)