openssl安全漏洞解决方案
文章目录
- 概述
- 项目背景
- openssl_1.0.x升级至openssl_1.1.1q
- buildroot配置
- hostapd/wpa_supplicant编译报错
- sshd启动慢
- 现象
- 解决
- 法1:升级内核
- 法2:修改配置项
- openssh_9.1p1
- scp无法使用
- 现象
- 解决
概述
openssl官方会发布最新发现的安全漏洞以及对应的解决方案:可在[https://www.openssl.org/news/newslog.html]查看
处理安全漏洞的方式大致如下:
1、升级版本
2、当前版本打补丁
本项目使用openssl-1.0.1j+openssh7.3p1,截至20221226号,需要解决的高危安全漏洞有:CVE-2022-1292、CVE-2022-2068、CVE-2022-0778、CVE-2021-3712、CVE-2021-41617等,采用升级版本的方式解决。
项目背景
项目使用openssl-1.0.1j + openssh-7.3p1,系统测试时发现当前openssl库和openssh工具具有安全漏洞,需要对其打补丁或者升级操作。
openssl库可能有较多上层应用或库对其依赖,所以版本最好选择相近版本。
在openssl官网上查看版本更新log,得出:
1、1.0.1x版本在16年已经不维护了,所以更新1.0.1x版本方案被排除
2、openssl不同大版本之间差别较大(例如1.x和3.x),因此选择1.1.x来替代1.0.1x更合适。
1.1.1x版本距今一直维护,且最新的1.1.1q解决了上述安全漏洞。
openssh是一个独立的app,直接选择最新版本即可
综上:openssl_1.1.1q + openssh_9.1p1
openssl_1.0.x升级至openssl_1.1.1q
参考buildroot-2022.11/package/libopenssl
buildroot配置
BR2_PACKAGE_OPENSSL=y
BR2_PACKAGE_LIBOPENSSL=y
BR2_PACKAGE_LIBOPENSSL_TARGET_ARCH="linux-mips32"
# BR2_PACKAGE_LIBOPENSSL_BIN is not set
# BR2_PACKAGE_LIBOPENSSL_ENGINES is not set
BR2_PACKAGE_HAS_OPENSSL=y
BR2_PACKAGE_PROVIDES_OPENSSL="libopenssl"
BR2_PACKAGE_PROVIDES_HOST_OPENSSL="host-libopenssl"
BR2_PACKAGE_LIBOPENSSL_ENABLE_SEED=y
hostapd/wpa_supplicant编译报错
buildroot整编时发现升级openssl后,以前的hostapd和wpa_supplicant模块编译出错
原因:openssl未打开如下配置,导致相关接口未找到,出现链接错误
1153 BR2_PACKAGE_LIBOPENSSL_ENABLE_DES=y
1154 BR2_PACKAGE_LIBOPENSSL_ENABLE_MD4=y
1155 BR2_PACKAGE_LIBOPENSSL_ENABLE_MD2=y
1156 BR2_PACKAGE_LIBOPENSSL_ENABLE_RC4=y
1157 BR2_PACKAGE_LIBOPENSSL_ENABLE_BLAKE2=y
1158 BR2_PACKAGE_LIBOPENSSL_ENABLE_RMD160=y
1159 BR2_PACKAGE_LIBOPENSSL_ENABLE_WHIRLPOOL=y
1160 BR2_PACKAGE_LIBOPENSSL_ENABLE_SSL=y
1161 BR2_PACKAGE_LIBOPENSSL_ENABLE_SSL2=y
1162 BR2_PACKAGE_LIBOPENSSL_ENABLE_WEAK_SSL=y
1163 BR2_PACKAGE_LIBOPENSSL_ENABLE_PSK=y
1164 BR2_PACKAGE_LIBOPENSSL_DYNAMIC_ENGINE=y
1165 BR2_PACKAGE_LIBOPENSSL_ENABLE_COMP=y
本项目未用到wifi模块,所以直接裁掉hostapd和wpa_supplicant模块。根据自己项目实际选择解决方案。
sshd启动慢
现象
1、设备启动后,立即执行/usr/sbin/sshd [-d] 无log打印,且ssh client无法连接,4~5分后sshd正常启动,ssh client可以正常连接。之后再重新执行sshd一切都正常
2、设备启动后4~5分后,手动执行/usr/sbin/sshd 可以正常运行
解决
本项目内核版本linux-3.10.14
法1:升级内核
在openssh和openssl中增加打印,发现4~5分钟的耗时发生在:
openssh/sshd.c:mainseed_rngif (RAND_status() != 1)openssl/crypto/rand/rand_lib.c:RAND_statusreturn meth->status();
最终产生一个中断,进入内核
kernel/irq/handle.chandle_irq_event_percpuadd_interrupt_randomnessif ((fast_pool->count & 1023) &&!time_after(now, fast_pool->last + HZ)) //卡在了这里
不清楚为什么在kernel的add_interrupt_randomness中卡住,解决方式如下:
参考内核-随机数快速初始化补丁:https://patchwork.kernel.org/patch/6781261/
add_interrupt_randomness():762 if ((fast_pool->count & 1023) &&763 !time_after(now, fast_pool->last + HZ) &&764 nonblocking_pool.initialized)765 return;
重新烧录内核,问题解决。
但对于已出厂的产品,升级内核风险较大,有没有不升级内核解决的办法?答案是有的,见法2
法2:修改配置项
还原法1修改的内核代码,重新研究openssl-1.1.1q代码
在buildroot编译配置openssl时发现如下log:
Configuring OpenSSL version 1.1.1q (0x1010111fL) for linux-mips32
Using os-specific seed configuration
Creating configdata.pm
Creating Makefile
其中“Using os-specific seed configuration”,推测openssl可以选择随机数获取seed的方式
查看grep seed ./Configure,得到:
my @known_seed_sources = qw(getrandom devrandom os egd none rdcpu librandom);
my @seed_sources = ();elsif (/^--with-rand-seed=(.*)$/)die "Unknown --with-rand-seed choice $x\n"if ! grep { $x eq $_ } @known_seed_sources;push @seed_sources, $x;
if (scalar(@seed_sources) == 0) {print "Using os-specific seed configuration\n";push @seed_sources, 'os';
即如果配置中没有–with-rand-seed=,则默认使用内核(OS)来产生随机数的seed,已知通过内核产生seed耗时较长,是否可以通过其他方式产生?答案是肯定的,修改如下:
buildroot方式:
buildroot配置文件增加:
BR2_PACKAGE_LIBOPENSSL_ENABLE_SEED=ypackage/libopenssl/*.mk修改:define LIBOPENSSL_CONFIGURE_CMDS中增加--with-rand-seed=devrandom \
–with-rand-seed=devrandom即采用/dev/*random来产生随机数
重新编译openssl和ssh,烧录后解决问题。
单编方式:
在./Configure中增加一个:--with-rand-seed=devrandom即可
重新编译openssl和ssh,烧录后解决问题。
openssh_9.1p1
正常编译即可。但在使用时出现如下问题
scp无法使用
现象
buildroot编译方式可能出现该问题,报错如下:
PC端执行scp时报错:
sh: scp: not found
lost connection
解决
首先确定设备测scp存在,且env中的PATH正确,能够寻到scp,在此基础上:
查看openssh配置时–with-default-path=的值是什么,我这里该值是空的,导致了上述问题
修改package/openssh.mk 或者在配置时增加–with-default-path=/usr/bin即可
21 OPENSSH_CONF_OPTS = \22 --sysconfdir=/etc/ssh \23 --with-default-path=/usr/bin \24 $(if $(BR2_PACKAGE_OPENSSH_SANDBOX),--with-sandbox,--without-sandbox) \
openssl安全漏洞解决方案相关推荐
- 绿盟科技发布OpenSSL高危漏洞技术分析与防护方案 G20成员国美国、中国、德国受影响较大...
近日,OpenSSL官方发布了版本更新,修复了多个OpenSSL漏洞,这次更新所修复的漏洞中,有两个危害等级较高的为CVE-2016-6304和CVE-2016-6305.绿盟科技对此漏洞进行了技术分 ...
- CVE-2020-1971: OpenSSL 拒绝服务漏洞通告
2020-12-09 08:47 报告编号:B6-2020-120901 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-09 0x01 漏洞简述 2020年12月09日 ...
- IIS 7.5 解析错误 命令执行漏洞解决方案
这篇文章主要介绍了IIS 7.5 解析错误 命令执行漏洞解决方案,需要的朋友可以参考下 一.漏洞介绍 漏洞影响 IIS7 及IIS7.5 在使FastCGI方式调用php时,在php.ini里设置 c ...
- 针对需要使用T3协议的Weblogic2628漏洞解决方案
针对需要使用T3协议的Weblogic2628漏洞解决方案 前几天用户的服务器中检查到了Weblogic2628l漏洞,并且打过Oracle官方补丁后还是能检测到. 针对此问题,去网上查找了一些资料. ...
- XSS(跨站脚本攻击)漏洞解决方案
XSS(跨站脚本攻击)漏洞解决方案 参考文章: (1)XSS(跨站脚本攻击)漏洞解决方案 (2)https://www.cnblogs.com/boboxing/p/9261996.html 备忘一下 ...
- request:fail 发生了 SSL 错误无法建立与该服务器的安全连接——openssl报漏洞该升级了
一.场景: 接口发布服务器环境为CentOS Linux release 7.5.1804 (Core),OpenSSL 版本OpenSSL 1.0.2k-fips 26 Jan 2017,前端是u ...
- Fortofy扫描漏洞解决方案
Fortofy扫描漏洞解决方案: Log Forging漏洞: 数据从一个不可信赖的数据源进入应用程序. 在这种情况下,数据经由CreditCompanyController.java 的第 53行进 ...
- 漏洞解决方案-明文传输漏洞
漏洞解决方案-明文传输漏洞 漏洞解决方案-明文传输漏洞 一.漏洞概述 二.利用方法和手段 三.漏洞防御解决方法 漏洞解决方案-明文传输漏洞 一.漏洞概述 敏感数据明文传输简单点来说就是当我们在网站上面 ...
- 漏洞解决方案-Http host头攻击
漏洞解决方案-Http host头攻击 漏洞概述 解决方案 漏洞概述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HTTP ...
最新文章
- SharePoint 2010中的客户端AJAX应用——ASP.NET AJAX模板
- 基本url是由协议服务器,http协议基础之URL
- 实验 3 检查点和参数化实验报告--软件功能测试与性能测试实验
- Java调试器和超时
- JQuery Datatables Dom 和 Language 参数详细说明
- Flink java模拟生成自定义流式数据
- Nginx在嵌入式系统中的应用
- 编译运行Cube_slam
- 精通~Scrum为什么会转型困难
- wifislax14.0final reaver穷举PIN教程 wap,wps破解教程
- ffmpeg百度云下载地址(最新版)
- 统计计量丨统计学公开课大盘点(附下载)
- 微信小程序实现垂直tab标签页的切换及动态的选中下划线移动-纵向
- 1024X600RGB屏幕规格书分析
- hazelcast java_Java分布式内存开源实现:Hazelcast
- ThreeJs 打包完成贴图贴图消失问题
- Java实用程序设计课后习题 西安电子科技大学
- 浅谈SEO学习方法和心态
- vue中使用vue-qrcode-reader自动检测并解码来自摄像机流的QR码
- zip()和*zip()
热门文章
- Interview之DS:人工智能领域求职岗位—数据科学家/数据科学工程师的职位简介、薪资介绍、知识结构之详细攻略
- 关于人工智能算法岗位的一点思考
- java写excel文件,报Warning: MS Office Drawing on sheet Sample not supported - omitting
- zenmap扫描ip段_NMAP 常用扫描简介(一)
- java fx 轮播_javafx实现轮播图
- 【JAVA】作战命令
- java雀圣麻将游戏,《雀圣宝典》麻将必看攻略
- 基于Verilog实现的移动机器人芯片设计
- Java 第 21 课 1200. 最小绝对差 539. 最小时间差
- 【转】加快网站访问速度——Yslow极限优化