OpenSSL 1.0.1j - RHEL 6.5의 "POODLE" 취약점 수정(업그레이드)

tag-icon tag-icon linux openssl poodle
OpenSSL 1.0.1j - RHEL 6.5의 "POODLE" 취약점 수정(업그레이드)

RHEL 6.5에서 OpenSSL을 업그레이드하는 데 문제가 있습니다. 이 라이브러리는 OpenSSL에 없습니다 libcrypto.so.10. 대신에 openssl 1.0.1j생성된 라이브러리는 입니다 libcrypto.so.1.0.0. 소프트 링크를 만들어 놓았으나 여전히 다른 용도로는 작동하지 않습니다 libcrypto.so.10.

이 문제에 대한 경험이 있는 사람이 있습니까?

설명(부록/편집):많은 사람들이 OpenSSL의 최신(2014.10.15) "POODLE" 취약점을 탈출하기 위해 OpenSSL 패키지에서 직접 1.0.1j 버전을 사용하기를 원하기 때문에 이는 필수 정보입니다. 이 시점에서 openssl.org에서 tar.gz 파일을 얻으면 문제가 없을 것입니다. 이는 이전에도 문제가 되었으며 발행물이 다른 사이트에 여전히 존재할 수 있으므로 openssl.org 외부의 파일을 삭제하지 마십시오. openssl 다운로드.

업데이트가 서버에서 이러한 연결을 허용할 때 발생하는 서버 문제를 완전히 해결하지는 못하므로 @jvp의 답변에서 RPM에 대한 SSL3 경고를 주의 깊게 읽어 보십시오. 이 추가 취약점에 대한 논의는 다음에서 확인할 수 있습니다. us-cert.gov의 NCAS 부서

보다답변EL6 및 EL7과 함께 Red Hat 기반 RPM을 사용하는 방법에 대해 설명합니다.

/usr/lib32비트 및 /usr/lib6464비트 디렉터리를 보면 레이아웃은 다음과 같아야 합니다.

  • libcrypto.a
  • libcrypto.so -> libcrypto.so.1.0.1j
  • libcrypto.so.10 -> libcrypto.so.1.0.1j
  • libcrypto.so.1.0.1j
  • .libcrypto.so.1.0.1j.hmac
  • .libcrypto.so.10.hmac -> .libcrypto.so.1.0.1j.hmaclibssl.a
  • libssl.so -> libssl.so.1.0.1j
  • libssl.so.10 -> libssl.so.1.0.1j
  • libssl.so.1.0.1j
  • .libssl.so.1.0.1j.hmac
  • .libssl.so.10.hmac -> .libssl.so.1.0.1j.hmac

openssllib 하위 디렉터리 와 lib 도 있지만 package이는 결코 문제가 되지 않았습니다.

답변1

RPM은 RHEL [6|7] 및 그 형제 제품(예: CentOS 등)용으로 출시되었으며 대부분의 저장소에서 yum을 통해 사용할 수 있습니다.

이러한 RPM은 일부 "POODLE" 취약점을 해결합니다.

  • CVE-2014-3567,
  • CVE-2014-3566 및
  • CVE-2014-3513

바라보다: 인증서 네트워크

보안 업데이트확실히일부 특정 SSLv3 문제를 해결하므로 서버를 업데이트하는 경우 클라이언트가 이 프로토콜(특히 CBC 방법)을 사용하여 연결할 가능성을 제거해야 합니다.

다음과 같은 방법으로 서버 구성에서 SSL3을 제거하는 것은 매우 쉽습니다.

NGINX/엔진:

  • ssl_protocols TLSv1 TLSv1.1 TLSv1.2;구성 섹션 에서 http 추가/교체
  • 서버 부분에서 "ssl_protocols" 지시문이 재정의되지 않았는지 확인하세요.

서버 지시문을 찾으면 삭제하고 "HTTP"가 관리하도록 하십시오. 어쨌든 그렇게 되어야 합니다.

아파치:

  • SSLProtocol All -SSLv2 -SSLv3전역 SSL 구성 섹션에서 추가/교체
  • Nginx와 마찬가지로 웹 호스트를 확인하세요.

이전 OpenSSL 혼란과 마찬가지로 최신 OpenSSL 버전 번호(1.0.1j)와 일치하도록 새 RPM 번호를 릴리스하지 않았지만 대신 릴리스의 마지막 범위인 1.0.1e .rpm로 패치를 백포트했습니다 . .rpmRHEL 배포판)이며 현재는 1.0.1e-30.[variable by specific machine version].

따라서 CentOS 6 64비트를 예로 들면 .rpm다음과 같습니다 openssl-1.0.1e-30.el6_5.2.x86_64.rpm.

OpenSSL 업데이트와 마찬가지로 OpenSSL을 사용하는 모든 항목(예: 웹 서버, VPN 등)은 서버에서 다시 시작해야 업데이트가 적용됩니다.

답변2

wget http://www.openssl.org/source/openssl-1.0.1j.tar.gz
tar -xvf openssl-1.0.1j.tar.gz
cd openssl-1.0.1j
./config --prefix=/usr no-threads shared
make
make test
make install

openssl version

관련 정보