生产环境openssl漏洞-升级openssl到最新版本

厂商补丁：
OpenSSL Project
---------------
OpenSSL Project已经为此发布了一个安全公告（20160922）以及相应补丁:
20160922：OpenSSL Security Advisory [22 Sep 2016]
链接：https://www.openssl.org/news/secadv/20160922.txt

请在下列网页下载最新版本：  
https://www.openssl.org/source/

漏洞返回信息
DES/3DES Ciphers:
TLS11_RSA_WITH_3DES_EDE_CBC_SHA
TLS1_RSA_WITH_3DES_EDE_CBC_SHA
TLS12_RSA_WITH_3DES_EDE_CBC_SHA

一、下载OpenSSL源码包（当前最新版本为1.1.1i）

# 下载源码包
wget https://mirrors.cloud.tencent.com/openssl/source/openssl-1.1.1i.tar.gz -O /usr/local/src/openssl-1.1.1i.tar.gz
# 源码编译依赖gcc和perl（5.0版本以上）
yum -y install gcc perl

二、源码编译安装

# 压缩包解压
cd /usr/local/src
tar xf openssl-1.1.1i.tar.gz
# 切换到源码目录
cd openssl-1.1.1i
# 执行编译
./config --prefix=/usr/local/openssl
./config -t
make && make install

三、使用新版OpenSSL

查询旧版OpenSSL
rpm -qa | grep openssl
# 卸载旧版OpenSSL（--nodeps参数表示忽略依赖关系）
rpm -e openssl --nodeps
# 使用新版OpenSSL
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
# 添加函数库
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
# 更新函数库
ldconfig -v
# 检查新版OpenSSL
openssl version -a

注意事项
系统旧版openssl软件包可以卸载，openssl其他附属软件包不建议卸载
系统默认安装的openssl-libs不能卸载，否则系统可能会崩溃

https://www.yeyouqing.top https://yeyouqing.top yeyouqing.top www.yeyouqing.top