关于SSLTLS协议信息泄露漏洞(CVE-2016-2183)解决⽅案详细描述:
解决办法:
实际操作:
根据官⽹要求升级对应⼤版本到指定的分⽀,按照要求准备升级到最新版本openssl
步骤:
⼀、执⾏脚本⽂件进⾏下载对应版本openssl,代码如下
#!/bin/sh
#下载安装指定版本openssl
#以下是普通⽤户脚本,⼀些操作需要root权限的sudo,root⽤户可删除
wget /source/openssl-1.0.
sudo tar xzvf openssl-1.0.
cd openssl-1.0.1u
sudo ./config shared zlib
make && make install
sudo chmod 777 /usr/local/ssl
cd /usr/local/ssl/
sudo ./bin/openssl version -a
#替换旧版openssl
sudo mv /usr/bin/openssl /usr/bin/openssl.old2
sudo mv /usr/include/openssl /usr/include/openssl.old2
sudo ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
sudo ln -s /usr/local/ssl/include/openssl/ /usr/include/openssl
#配置库⽂件搜索路径
#root的写法 echo "/usr/local/ssl/lib" >> /etc/f
echo "/usr/local/ssl/lib" |sudo tee -a /etc/f
sudo ldconfig
⼆、重新编译nginx,指定相应的新版本的openssl模块
其次,重新配置模块并重新编译nginx⽂件,具体操作如下:
#测试新版是否正常
openssl version -a
#备注:如果你是普通⽤户创建的软链注意权限问题
  ⼆、重新编译nginx,指定相应的新版本的openssl模块
nginx -V
-
---------------------------------------------------------------------------
nginx version: nginx/1.16.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC)
built with OpenSSL 1.0.1e 22 Sep 2013
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --with-pcre=/ywj/src/pcre-8.35 --
with-http_ssl_module --with-http_realip_module --with-http_addition_module --
with-http_gzip_static_module --with-http_sub_module --with-http_dav_module --
with-http_flv_module --with-http_stub_status_module --without-http_charset_module
--with-http_v2_module
具体编译模块按照业务需求查看
  其次,重新配置模块并重新编译nginx⽂件,具体操作如下:
./configure --prefix=复制已有的模块+ with-openssl=/ytxt/src/openssl-1.0.1u
#注意:这⾥新增模块with-openssl指定新的nginx ssl模块依赖的ssl库,如果没有这步最终的nginx的
ssl编译版本是openssl-1.0.1u,⽽运⾏版本还是原来的openssl-1.0.1e
#编译完成后,执⾏make,但不执⾏make install
make
#先备份
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx20181113.old
#再复制最新额
cp ./objs/nginx /usr/local/nginx/sbin/nginx
#查看最新版本
nginx -V
----------------------------------------------------------------------------
nginx version: nginx/1.16.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC)
built with OpenSSL 1.0.1u 22 Sep 2016
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --with-pcre=/ywj/src/pcre-8.35 --
with-http_ssl_module --with-http_realip_module --with-http_addition_module --
with-http_gzip_static_module --with-http_sub_module --with-http_dav_module --
with-http_flv_module --with-http_stub_status_module --without-http_charset_module
--with-http_v2_module --with-openssl=/ytxt/openssl-1.0.1u
cve漏洞库
总结
第⼀步、升级openssl升级到指定的修正版本,这个从测试其版本的⾓度修复这个问题(这步基本解决⾃动扫描漏洞的问题)第⼆步、ssl的指定算法需要排除DES、3DES这样的算法,这个从算法匹配的⾓度解决这个问题

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。