最新OpenSSL漏洞CCS注入及升级修复

说明：此漏洞是openssl小组于2014-5-1日提出的，并且与6月2日联系红帽子以及其他衍生版本，并且与6月5日告知大众！

The OpenSSL team was notified about this issue on May 1, 2014, and contacted Red Hat and other OS distributions on June 2, 2014. This issue was made public on June 5, 2014.

OpenSSL再爆新漏洞：可用于“中间人”***

相关媒体报道：

http://news.zol.com.cn/459/4590770.html

http://internet.voc.com.cn/512088/683588264695b.shtml

http://digi.163.com/14/0606/09/9U1VJJIQ00162OUT.html

相关链接：

http://www.oschina.net/news/52530/openssl-ccs-injection

https://access.redhat.com/site/articles/904433

（OpenSSL CCS Injection Vulnerability (CVE-2014-0224) Alert）

漏洞描述：

OpenSSL 的 ChangeCipherSpec 处理再报严重安全漏洞，该漏洞使得***者可以拦截恶意中间节点加密和解密数据,同时迫使使用弱密钥的SSL客户端暴露在恶意节点。

当软件使用OpenSSL的受影响版本，通过网页浏览、电子邮件和×××进行内容和身份验证等加密通讯时会有篡改的风险。

受影响的版本包括：

• OpenSSL 1.0.1 through 1.0.1g

• OpenSSL 1.0.0 through 1.0.0l

• all versions before OpenSSL 0.9.8y

未影响版本：

• OpenSSL 1.0.1h

• OpenSSL 1.0.0m

• OpenSSL 0.9.8za

#############################################

本系统为CentOS 5

升级openssl:

OpenSSL最新地址：

http://www.openssl.org/source/openssl-1.0.1h.tar.gz

查看openssl版本

#openssl version

OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

如果需要zlib库支持，可以装上！

yum install -y zlib

安装最新版本：

wget http://www.openssl.org/source/openssl-1.0.1h.tar.gz

tar xvzf openssl-1.0.1h.tar.gz

./config shared zlib   #支持zlib压缩与解压缩，并创建共享库

make

make install

mv /usr/bin/openssl /usr/bin/openssl.bak

mv /usr/include/openssl /usr/include/openssl.bak

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/ssl/include/openssl /usr/include/openssl

echo “/usr/local/ssl/lib” >> /etc/ld.so.conf

ldconfig -v

检查版本：

# openssl version

OpenSSL 1.0.1h 5 Jun 2014

升级完毕！