v3.0.x 中有一个严重性最高的安全漏洞，其中 x<7。openssl补丁版本（3.0.7）已于2022 年 11 月 1 日正式下线。

如何在 Ubuntu 22.04 系统上安装/更新 openssl 3.0.7？

更新：该漏洞已从严重降级为高。

我正在为 mongodb 创建一个身份验证密钥文件，一种方法是使用：/usr/bin/openssl rand -base64 741 > $TMPFILE

我想了解发生了什么，我了解了所有内容减去三个数字 741 的含义

我在文档中找不到解释。

我有一个运行 openssl 以在本地检查证书有效性的 perl 脚本。我不想只是设置一个环境变量然后走开。这感觉更像是我的 openssl 安装或配置很有趣

系统是什么，版本...

我正在本地验证来自 Letsencrypt 的证书。这是一个 20.04/Focal 系统。Openssl 是OpenSSL 1.1.1f 31 Mar 2020，所以我希望它能够愉快地验证证书，即使 LE 使用新的 ISRG 根证书“交叉签名”它们。

然而，一旦旧的 X3 证书过期，这些错误就开始了……

openssl verify -verbose -purpose sslserver -CAfile /path/redacted/chain.pem /path/redacted/cert.pem
C = US, O = Internet Security Research Group, CN = ISRG Root X1. 
error 2 at 2 depth lookup: unable to get issuer certificate. 
error /path/redacted/cert.pem: verification failed

这感觉很奇怪。一些挖掘使我想-trusted_first知道openssl verify. 如果未启用trusted-first 选项，这正是openssl会抱怨的。但是，尝试显式启用该选项没有任何影响：

openssl verify -trusted_first -verbose -purpose sslserver -CAfile /path/redacted/chain.pem /path/redacted/cert.pem
C = US, O = Internet Security Research Group, CN = ISRG Root X1
error 2 at 2 depth lookup: unable to get issuer certificate
error /path/redacted/cert.pem: verification failed

好的。自 openssl 1.1.1 以来，该选项应默认启用（即该系统，见上文）。所以我明确包括它应该没有什么区别。

但最终我尝试将其指定为环境变量。等等，哇？为什么指定此环境变量会修复 openssl 的行为以信任它在链中找到的第一个根证书：

set X509_V_FLAG_TRUSTED_FIRST openssl verify -trusted_first -verbose -purpose sslserver -CAfile /path/redacted/chain.pem /path/redacted/cert.pem

…以退出值为零运行。

缩小

我不明白为什么 openssl 不能正常工作（tm）。这是一个完全更新的 20.04。较新的 ISRG 根证书已安装/etc/ssl/certs/ISRG_Root_X1.pem并且update-ca-certificates很高兴：

Updating certificates in /etc/ssl/certs...
0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

我刚刚阅读了关于 CVE-2020-1971 的描述，这表明今天发布了针对 openSSL 的补丁，补丁版本为 1.1.1i——我的 Ubuntu 20.04.1 LTS 版本运行的是 openSSL 版本 1.1.1f。从去年三月开始。

软件更新程序说我的系统是最新的。我希望明天 Canonical 会发布这个 openSSL 更新......有人可以确认他们正在处理这个问题吗？

在 WSL2（Linux 的 Windows 子系统）上使用 Ubuntu 20.04（焦点）作为 LAMP-stack/WordPress 开发环境。

由于所需的服务不会在 Windows 10（主/父操作系统）启动时自动运行，因此我创建了一个/start文件来调用 start on openssl、apache和mysql并回显确认语句。它看起来就像这个代码块。

    #!/bin/sh

    service ssh start
    service mysql start
    service apache2 start

    echo "System ready."

现在，当我打开一个bash终端时，我只是sudo -s用来切换到 root 并调用/start. 输出看起来像这样。

    focal@DESKTOP-6FLTF67:~$ sudo -s
    [sudo] password for focal:
    root@DESKTOP-6FLTF67:/home/focal# /start
    * Starting OpenBSD Secure Shell server sshd                                               [ OK ]
    * Starting MySQL database server mysqld                                                   [ OK ]
    * Starting Apache httpd web server apache2                                                                    
    * 
    System ready.
    root@DESKTOP-6FLTF67:/home/focal#

我如何使这项工作用于服务重启和关闭目的。是否允许为这些命令进行配置？因为我放置服务的顺序无关紧要，所以当我保存/restart或/stop文件并运行它时，我不断收到此错误。

    focal@DESKTOP-6FLTF67:~$ sudo -s
    root@DESKTOP-6FLTF67:/home/focal# /start
    * Starting OpenBSD Secure Shell server sshd                                                [ OK ]
    * Starting MySQL database server mysqld                                                    [ OK ]
    * Starting Apache httpd web server apache2                                                                    
    *
    System ready.
    *
    root@DESKTOP-6FLTF67:/home/focal# /stop
    bash: /stop: Permission denied
    *
    root@DESKTOP-6FLTF67:/home/focal# /restart
    bash: /restart: Permission denied
    *
    root@DESKTOP-6FLTF67:/home/focal# /stop
    bash: /stop: Permission denied

我已经尝试过关闭一个服务之前/之后关闭另一个服务的所有变体，等等，并根据工作/start版本仔细检查了文件，它们似乎很好。

有人可以帮助我了解我所缺少的吗？先感谢您！

我正在使用 ubuntu 18.04 LTS，我的内核版本是4.15.0-96-generic我通过安装 curl

sudo apt-get install curl

当我使用命令时curl --version，它说

curl: /home/user/LD_LIBRARY/libcurl.so.4: version `CURL_OPENSSL_4' not found (required by curl)

我已经查看了这个链接curl 在 Ubuntu 18.04 LTS 上不起作用， 但它没有解决错误

在哪里openssl version 返回

OpenSSL 1.1.1  11 Sep 2018

脚本.sh

certKey=$(openssl rand -hex 70)

openssl pkcs12 -export -out fullchain.p12 --passin pass:$certKey -inkey .../privkey.pem -in .../fullchain.pem~~

我在调用这个脚本时没有传入 certKey，系统要求我输入 pkcs12 密码。

我在我的 VPS 上安装了 Ubuntu 20。这就是我尝试这样做的原因：

curl -v https://imenik.tportal.hr/show?action=pretraga&type=bijeleStranice
[1] 438975
root@vps:/var/www/html/tportal# *   Trying 195.29.166.100:443...
* TCP_NODELAY set
* Connected to imenik.tportal.hr (195.29.166.100) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (OUT), TLS alert, protocol version (582):
* error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol
* Closing connection 0
curl: (35) error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol

但是当我这样尝试时，它有点工作

curl -v http://imenik.tportal.hr/show?action=pretraga&type=bijeleStranice
[1] 438977
root@vps:/var/www/html/tportal# *   Trying 195.29.166.100:80...
* TCP_NODELAY set
* Connected to imenik.tportal.hr (195.29.166.100) port 80 (#0)
> GET /show?action=pretraga HTTP/1.1
> Host: imenik.tportal.hr
> User-Agent: curl/7.68.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 301 Moved Permanently
< Date: Tue, 16 Jun 2020 07:44:32 GMT
< Server: Apache/2.2.3 (CentOS)
< Location: https://imenik.tportal.hr/show?action=pretraga
< Content-Length: 336
< Connection: close
< Content-Type: text/html; charset=iso-8859-1
<
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="https://imenik.tportal.hr/show?action=pretraga">here</a>.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at imenik.tportal.hr Port 80</address>
</body></html>
* Closing connection 0

我找不到此 SSL 问题的解决方案

突然我的 /etc/ssl/cert 目录几乎是空的，我不知道它是怎么发生的。

昨天还剩下大约 400 个（符号链接）。

由于缺少证书，许多事情不再起作用（包括 apt 包管理器）。

运行sudo ca-update-certificates会产生一个非常奇怪的输出：

Updating certificates in /etc/ssl/certs...
find: ‘test’: file or directory not found
find: ‘test’: file or directory not found
find: ‘test’: file or directory not found
... 127 times same message
127 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...

updates of cacerts keystore disabled.
done.

测试文件夹或文件应该在哪里？我可以做些什么来解决我的问题？

我正在尝试按照https://wiki.ubuntu.com/FocalFossa/ReleaseNotes从 19.10 升级到 20.04 。我已经运行sudo apt-get update并且sudo apt-get upgrade设置了Notify me of a new Ubuntu version: For any new version。但是，发行说明中的​​任何内容都不起作用。

update-manager -c说一切都是最新的，但说： Failed to connect to https://changelogs.ubuntu.com/meta-release-development. Check your Internet connection or proxy settings。/usr/lib/ubuntu-release-upgrader/check-new-release-gtk或相同do-release-upgrade。sudo apt dist-upgrade什么也没做。但是，当我可以curl使用 url 时，它会在 Firefox 中正常加载。

也许相关：我已经手动编译并安装了 openssl 1.1.1g。也许 openssl 1.1.1c 和 1.1.1g 之间的一些差异导致了这个错误？我编译了./config zlib zlib-dynamic threads enable-buildtest-c++ --release

我将如何解决这个问题？

编辑：我没有代理或互联网问题。