如何修补OpenSSL中的漏洞?

我收到了生成我的证书的权威人员的警告,它说OpenSSL中存在错误,并且发现它影响版本1.0.1。

据我所知,我必须升级到1.0.1h来修复这个bug。

这是我第一次处理这些东西,我担心它会如何影响我的服务器。

我必须重新启动任何服务吗? 到底是什么? 我必须确保这不会花太长时间。

给出的答案没有回答这个问题,对于x86_64 14.04的最新软件包,最新的openssl软件包信息是(如果其他人有困难请告诉我):

openssl: Installed: 1.0.1f-1ubuntu2.3 Candidate: 1.0.1f-1ubuntu2.3 Version table: *** 1.0.1f-1ubuntu2.3 0 500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-updates/main amd64 Packages 500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-security/main amd64 Packages 500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main amd64 Packages 500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages 100 /var/lib/dpkg/status 1.0.1f-1ubuntu2 0 500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty/main amd64 Packages 500 http://us.archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages 

我一直在忙着安装/升级到这里的版本1.0.1h而没有运气,当我取得一些进展时我会重新检查。

*****更新:所以我在另一个需要更新的线程上找到了解决方案(下面列出的源文章):**

在单个命令行下面编译并安装最后一个openssl版本。

 curl https://www.openssl.org/source/openssl-1.0.1h.tar.gz | tar xz && cd openssl-1.0.1h && sudo ./config && sudo make && sudo make install 

通过符号链接替换旧的openssl二进制文件。 转到终端中的/ usr / bin并运行下面的命令

 sudo ln -sf /usr/local/ssl/bin/openssl `which openssl` 

重新启动,你很高兴。 您可能需要/需要创建新证书。 这是我更新的原始post/post。 资源

运行命令并重启后的输出:

 OpenSSL 1.0.1h 5 Jun 2014 built on: Sat Jun 14 22:43:13 EDT 2014 platform: linux-x86_64 options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) compiler: gcc -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl" 
  1. 确保您拥有当前支持的版本:10.04-server,12.04,14.04或13.10。

     ~$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 12.04.4 LTS Release: 12.04 Codename: precise 
  2. 确保安装最新更新。 sudo apt-get update && sudo apt-get upgrade

  3. 校验。 apt-cache policy openssl应显示为已安装的版本1.0.1-4ubuntu5.14

     apt-cache policy openssl openssl: Installed: 1.0.1-4ubuntu5.14 Candidate: 1.0.1-4ubuntu5.14 Version table: *** 1.0.1-4ubuntu5.14 0 500 http://archive.ubuntu.com/ubuntu/ precise/main i386 Packages 500 http://archive.ubuntu.com/ubuntu/ precise-security/main i386 Packages 500 http://archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages 100 /var/lib/dpkg/status 
  4. 重启任何服务或系统只是为了确保。

该漏洞会影响OpenSSL客户端。 使用低于1.0.1的OpenSSL版本连接到运行OpenSSL 1.0.1及更高版本的服务器的客户端容易受到攻击,应该进行更新。

OpenSSL团队发布了新版本 。

解决此问题的唯一方法是安装更新的OpenSSL软件包并重新启动受影响的服务。 此时,这不会导致证书或私钥泄露。

有关更多信息,请参见此处