Debian10 OpenSSL 拒绝服务漏洞 (CVE-2020-1967) 修复办法

事情源于腾讯云的轻量云服务器，刚使用了三天提示发现OpenSSL 拒绝服务漏洞 (CVE-2020-1967)，这个漏洞是
2020-04-21年披露的，都已经两年了，腾讯云内置的系统并没有修复，而要用户去手动修复，只能说是太偷懒了，后台也只给出了openssl的官方链接，并没有具体的 (CVE-2020-1967) 修复办法，主机观察提供OpenSSL 拒绝服务漏洞 (CVE-2020-1967) 修复教程。

OpenSSL 拒绝服务漏洞背景介绍：

openssl 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以C语言所写成，实现了基本的加密功能，实现了SSL与TLS协议。openssl可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上(包括Solaris，Linux，MacOS与各种版本的开放源代码BSD操作系统)。

2020年04月21日OpenSSL 官方发布了 TLS 1.3 组件拒绝服务漏洞的风险通告，当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞，黑客可利用该漏洞攻击服务器，导致无法正常提供服务。

OpenSSL 拒绝服务漏洞修复方案：

升级到 1.1.1g 版本，下载地址为：https://www.openssl.org/source/ 需确认机器已安装的软件包中不存在低版本openssl组件，例如可通过执行rpm -qa | grep openssl查看

检测到服务器存在漏洞风险，建议立即对相关主机进行快照备份，避免遭受损失。

OpenSSL 拒绝服务漏洞具体修复办法：

因为目前OpenSSL 最新版本为openssl-1.1.1m，我们就以openssl-1.1.1m为例。

apt install cmake wget perl

wget https://www.openssl.org/source/openssl-1.1.1m.tar.gz

tar -zxvf openssl-1.1.1m.tar.gz

cd openssl-1.1.1m

./config –prefix=/usr/local/openssl

./config -t

make && make install

mv /usr/bin/openssl /usr/bin/openssl.old

mv /usr/lib64/openssl /usr/lib64/openssl.old

mv /usr/lib64/libssl.so /usr/lib64/libssl.so.old

mv /usr/lib/x86_64-linux-gnu/libcrypto.so.1.1 /usr/lib/x86_64-linux-gnu/libcrypto.so.1.1.old

cp /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib/x86_64-linux-gnu/libcrypto.so.1.1

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/openssl/include/openssl /usr/include/openssl

ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so

echo “/usr/local/openssl/lib” >> /etc/ld.so.conf

ldconfig -v

openssl version -a

查看openssl最新版本已经是OpenSSL 1.1.1m 14 Dec 2021，成功修复OpenSSL 拒绝服务漏洞 (CVE-2020-1967)。