关于Open SSL高危漏洞整改操作 -- AIX 整改措施

　　关于Open SSL高危漏洞整改操作 -- AIX 整改措施

　　1、背景信息

　　OpenSSL补丁包的打包方式不同，呈现出的版本号也不一致。如果查询出的版本号在如下三个版本范围之内，则均表示涉及漏洞的整改。

　　OpenSSL版本低于openssl-1.0.1.512

　　OpenSSL版本低于openssl-0.9.8.2503

　　OpenSSL版本低于openssl-fips-12.9.8.2503

　　如果系统安装了OpenSSL，执行如下命令查询OpenSSL版本信息。

　　# lslpp -L |grep ssl

　　如果系统中没有安装OpenSSL，则执行以上查询OpenSSL版本命令没有输出，表示本漏洞不涉及。

　　2、获取open ssl漏洞补丁包

　　到相应的官方网站下载open ssl漏洞补丁包。

　　3、升级open ssl

　　升级open ssl可能会影响其他依赖于open ssl的软件，在升级open ssl前需要进行备份操作系统。

　　执行步骤：

　　①　以root用户登录操作系统。

　　②　上传下载后的补丁安装包到“/tmp”文件夹，补丁包现以“openssl1.0.tar.Z”和“openssl2.0.tar.Z”表示;

　　③　解压补丁包。

　　# cd /tmp

　　# zcat openssl1.0.tar.Z | tar xvf -

　　# zcat OpenSSH_6.0.0.6109.tar.Z | tar xvf -

　　④　安装补丁包。

　　安装SSL补丁包。

　　# cd openssl-1.0.1.512

　　# installp -aXYd . openssl.base

　　# installp -aXYd . openssl.license

　　# installp -aXYd . openssl.man.en_US

　　安装SSH补丁包。

　　# cd /tmp/OpenSSH_6.0.0.6109

　　# installp -aXYd . openssh.base

　　# installp -aXYd . openssh.license

　　# installp -aXYd . openssh.man.en_US

　　# installp -aXYd . openssh.msg.en_US

　　⑤　验证安装结果。

　　#lslpp -L |grep ssl

　　# lslpp -l|grep ssh

　　4、回退操作

　　若open ssl升级失败，或使用的过程中有问题，则可以进行回退操作。

　　步骤 1 执行emgr -l命令查询系统中已安装的临时补丁。

　　系统显示类似如下信息：

　　步骤 2 删除临时补丁。

　　# emgr -r -L 101_fix

　　101_fix为临时补丁的LABEL名称，现场需以实际查询出的结果为准。