openssl漏洞补丁修复

OpenSSL受影响版本的分布

根据已经公开的信息，该漏洞影响分布情况如下。

1、OpenSSL 1.0.1f (受影响)

2、OpenSSL 1.0.2-beta (受影响)

3、OpenSSL 1.0.1g (不受影响)

4、OpenSSL 1.0.0 branch (不受影响)

5、OpenSSL 0.9.8 branch (不受影响)

处置建议如下

3.1 针对网络管理员，可以做的事情包括

鉴于本漏洞的严重程度，如果确定本漏洞存在，对一般性的网络服务者，暂停服务进行处置是一种较好的应对策略。

如果确定本漏洞存在，又必须保证服务不能停止，可以在漏洞修补过程中，暂时停止https服务，改用http服务，但这会带来相关认证信息明文传输的风险，具体利害需要做出谨慎的判断权衡。

具体修补方式为：

OpenSSL版本升级到最新的1.0.1g

重新生成你的私钥

请求和替换SSL的证书

也可以使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块，最新版本升级地址为：https://www.openssl.org/source/. (OpenSSL官方)

把版本升级到官网最新的版本:openssl-1.0.1g(2014.4.7更新的)

先进行支撑包的安装：

yum install -y zlib

openssl升级步骤：

0. 首先通过 #openssl version �Ca 查看系统中存在的OpenSSL版本号

下载最新版本的openssl源码包

# wget ftp://ftp.openssl.org/source/openssl-1.0.1g.tar.gz

2. 安装openssl

1. tar xzvf openssl-1.0.1g.tar.gz  

2. cd openssl-1.0.1g  

3. ./config shared zlib

4. make  

5. make install  

6. mv /usr/bin/openssl /usr/bin/openssl.OFF

7. mv /usr/include/openssl /usr/include/openssl.OFF

8. ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

9. ln -s /usr/local/ssl/include/openssl /usr/include/openssl

配置库文件搜索路径

10. echo “/usr/local/ssl/lib” >> /etc/ld.so.conf

11. ldconfig -v  

3 查看openssl版本号，验证安装正确性

1、#openssl version -a

penSSL 1.0.1g 7 Apr 2014

built on: Fri Apr 11 13:49:37 CST 2014

platform: linux-x86_64

options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)

OPENSSLDIR: "/usr/local/ssl"

下面是我自己写的一个小脚本：

#cat openssl-update.sh

yum install -y zlib

echo "*****************************************************************************************************************************"

openssl version -a

cd /root

wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz

tar xzvf openssl-1.0.1g.tar.gz  

cd openssl-1.0.1g

./config shared zlib

make  

make install  

mv /usr/bin/openssl /usr/bin/openssl.OFF

mv /usr/include/openssl /usr/include/openssl.OFF

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/ssl/include/openssl /usr/include/openssl

echo “/usr/local/ssl/lib” >> /etc/ld.so.conf

ldconfig -v

echo "*****************************************************************************************************************************"

openssl version -a

#chmod +x openssl-update.sh

#./openssl-update.sh >>openssl-update.log

本文转载：http://dcwnb1.blog.51cto.com/4101399/1394128

http://yongzhi.blog.51cto.com/1046232/1394127