ソースからOpenSSLをバージョン3.0.2にアップグレードする

ソースからOpenSSLをバージョン3.0.2にアップグレードする

openssl 1.1.1xの現在のセキュリティ問題のため、ソースから(Ubuntu)システムをアップグレードする必要があります。適切な場合にのみ、最新のopenssl(1.1.1f)が最新であることがわかるからです。

修正する CVE-2022-0778

sudo apt update / upgradeを実行した後でも、opensslはまだバージョン1.1.1fにあり、これは少なくともUbuntu 20.04では脆弱です。

答え1

ルートとして:(またはsudoを使用)

$ sudo su
# cd /usr/src
# wget https://www.openssl.org/source/openssl-3.0.2.tar.gz
# tar zxvf openssl-3.0.2.tar.gz
# cd openssl-3.0.2
# ./Configure
# make
# make install

以前のバージョンのOpenSSLがインストールされている場合は、次のことを行う必要があります。

# cd /usr/lib/ssl
# unlink openssl.cnf
# ln -s /usr/local/ssl/openssl.cnf openssl.cnf
# ldconfig
# openssl version

OpenSSL 3.0.2が表示されたら成功です。

それ以外の場合はopensslが見つからないか、他のエラーが発生した場合

x86_64 アーキテクチャを使用する場合

# ldconfig /usr/local/lib64

答え2

しかし、UbuntuのOpenSSLバージョン以前のバージョンでは、既知のセキュリティ問題に対する修正を含むようにパッチが適用されました。

たとえば、20.04(最新のLTS)では、次のようになります。

openssl (1.1.1f-1ubuntu2.12) focal-security; urgency=medium

  * SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
    - debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
      crypto/bn/bn_sqrt.c.
    - debian/patches/CVE-2022-0778-2.patch: add documentation of
      BN_mod_sqrt() in doc/man3/BN_add.pod.
    - debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
      BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
    - CVE-2022-0778

21.10(最新バージョン):

openssl (1.1.1l-1ubuntu1.2) impish-security; urgency=medium

  * SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
    - debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
      crypto/bn/bn_sqrt.c.
    - debian/patches/CVE-2022-0778-2.patch: add documentation of
      BN_mod_sqrt() in doc/man3/BN_add.pod.
    - debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
      BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
    - CVE-2022-0778

また、見ることができます該当するセキュリティ情報

サポートされているUbuntu(および他のディストリビューション)バージョンでは、アップデートを引き続きインストールする限り、セキュリティ上の問題を解決するためにソフトウェアを直接構築する必要はありません。

関連情報