CVE-2024-12797 修复指南

CVE-2024-12797 是一个针对 OpenSSL 库的安全漏洞，它可能允许攻击者通过特定方式操纵加密通信或数据，从而导致信息泄露或其他安全隐患。

关键点：

• 默认情况下，TLS 客户端和 TLS 服务器都禁用了 RPK（Raw Public Key）。只有当 TLS 客户端明确允许服务器使用 RPK，并且服务器也允许发送 RPK 而不是 X.509 证书链时，问题才会出现。
• 受影响的客户端是那些将验证模式设置为 SSL_VERIFY_PEER，从而在服务器 RPK 与预期公钥之一不匹配时依赖握手失败的客户端。
• 漏洞源于 OpenSSL 3.2 版本引入的 RPK 实现缺陷，后续版本（如 3.3 和 3.4）继承了此问题。

RPK 是一种用于 TLS 协议的身份验证机制，通常在物联网（IoT）设备和其他资源受限的环境中使用。尽管大多数应用场景不会涉及 RPK，但为了确保系统的安全性并体验最新功能，建议升级到最新的 OpenSSL 版本。

升级步骤

以下是从 OpenSSL 3.2.3 升级到 3.4.1 的详细步骤：

1.下载最新稳定版 OpenSSL

前往OpenSSL官方网站下载最新的稳定版(https://openssl-library.org/source/，或在后台回复“openssl”关键字获取)

2.解压源码

解压缩下载的文件：

tar -zxvf openssl-3.4.1.tar.gzcd openssl-3.4.1

3.配置编译选项

使用以下命令配置编译选项，指定安装路径为 /usr 并启用共享库支持：

./config --prefix=/usr --shared

4.编译并安装

编译并安装 OpenSSL：

make && make install

如果在此过程中遇到缺少 Data::Dumper 模块的错误，请按照以下步骤解决：

安装 perl-Data-Dumper 模块：

yum install perl-Data-Dumper -y

安装完成后，重新运行编译和安装命令。

5.验证安装

安装完成后，验证 OpenSSL 是否已成功更新至 3.4.1 版本：

openssl version

参考链接

原文始发于微信公众号（网络个人修炼）：CVE-2024-12797 修复指南