从源代码将OpenSSL升级到3.0.2版本

Question

鉴于openssl 1.1.1x当前的安全问题，我们不得不从源头上升级我们的(Ubuntu)系统，apt只表明最新的openssl (1.1.1f)是最新的

更新CVE-2022-0778

运行sudo apt更新/升级后，openssl仍然是1.1.1f版本，易受攻击--至少在Ubuntu 20.04上是如此

Answer 1

作为根：(或使用sudo)

$ sudo su
# cd /usr/src
# wget https://www.openssl.org/source/openssl-3.0.2.tar.gz
# tar zxvf openssl-3.0.2.tar.gz
# cd openssl-3.0.2
# ./Configure
# make
# make install

如果安装了旧版本的OpenSSL，则可能需要：

# cd /usr/lib/ssl
# unlink openssl.cnf
# ln -s /usr/local/ssl/openssl.cnf openssl.cnf
# ldconfig
# openssl version

如果你看到OpenSSL 3.0.2 -它是成功的

否则，如果您收到一个错误，无法找到openssl或其他什么。

如果您有一个x86_64架构

# ldconfig /usr/local/lib64

Answer 2

尽管Ubuntu中的OpenSSL版本与旧版本相对应，但它们被修补以包括对已知安全问题的修复。

例如，在20.04 (最新的LTS)：

openssl (1.1.1f-1ubuntu2.12) focal-security; urgency=medium

  * SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
    - debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
      crypto/bn/bn_sqrt.c.
    - debian/patches/CVE-2022-0778-2.patch: add documentation of
      BN_mod_sqrt() in doc/man3/BN_add.pod.
    - debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
      BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
    - CVE-2022-0778

在21.10 (最新版本)：

openssl (1.1.1l-1ubuntu1.2) impish-security; urgency=medium

  * SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
    - debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
      crypto/bn/bn_sqrt.c.
    - debian/patches/CVE-2022-0778-2.patch: add documentation of
      BN_mod_sqrt() in doc/man3/BN_add.pod.
    - debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
      BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
    - CVE-2022-0778

另见相应的安全通知。

在Ubuntu (和其他发行版)的受支持版本上，只要不断更新安装，您就不应该需要自己构建软件来解决安全问题。