OpenSSLの脆弱性が懸念され、SLES11SP1サーバーを運用しています。残念ながら、管理上の理由でサポートが期限切れになり、OpenSSLと必須ライブラリを手動で更新することを検討しています。最新バージョンのOpenSSLをダウンロードしてRPMを作成したり、OSにモジュールを直接インストールするスクリプトや推奨方法はありますか?
答え1
ほとんどのシステムを更新しないと不可能です。 CentOS 5.xでも同じ方法を試しましたが、最終的に時間を無駄にしました。
あなたができることは(これを試しましたが、最終的にシステム全体をアップグレードすることになります)、OpenSSLのソースコードやWebサーバーなどをインストールすることです。新しいSSLで実行したいすべてをインストールし、別のコンパイルルートを使用してコンパイルします。 、例えば/opt。しかし、古いシステムライブラリに対してOpenSSLをコンパイルするのは簡単ではありません。とにかくこの問題が発生しました。
残りの問題は、OpenSSLの新しいバージョンがリリースされたときに利用可能な簡単なアップグレードパスがないことです。
(ゲスト)オペレーティングシステムをアップグレードできない場合、現在ブレーンストーミング中の1つの回避策は、SSLベースのサービスを実行している最新のシステムで仮想マシンを実行することです。
別の回避策は、(コンパイルする必要がある)openSSLの静的ビルド用にこれらのサービス(Apacheなど)をコンパイルすることです。これには多くの作業が必要です。
答え2
2014年8月、SUSEは、SUSE Linux Enterprise 11 SP3以降SP4に拡張機能を提供する「SUSE Linux Enterprise 11セキュリティモジュール」をリリースしました。
zypper in curl-openssl1 wget-openssl1
次に、正しい回避策を使用していることを確認するには、次の点を確認します。
update-alternatives --display curl
望むより:https://www.suse.com/documentation/suse-best-practices/singlehtml/securitymodule/securitymodule.html
答え3
zypper up端末からrootとしてログインします。