|
关于CVE-2016-2183OpenSSL信息泄露漏洞修复
一、背景 1.各行业每年都会有漏洞扫描,我负责的客户在关键保障时期前,都会安排漏扫团队进行扫描,加强网络的安全建设与修复工作。涉及最多的就是vpn,关于CVE-2016-2183OpenSSL信息泄露漏洞修复
二、变更备份 1.建议操作前先进行备份,确认变更窗口期,在客户允许的条件下,于非业务高峰期操作。
三、实施说明 TDCOMMON_4430_SWEET32_通用包 (低版本设备需要安装此包加固。高版本7.6.9R1在web控制台设置即可,系统设置---sslvpn选项设置---系统选项---接入选项--防SWEET32攻击-----点击勾选。 注意:保存会立即生效,同时重启VPN所有服务,预计1分钟左右回复正常,如果设置不生效建议进行如下安全加固。) 使用SANGFOR_Updater6.2 操作。 先安装check检查包,在安装正式包。
【解决问题】 去sweet32算法补丁包需要支持到769R2
【方案类型】 通用方案
【支持的版本】 M5.0-M7.6.9R2
【补丁包MD5值】 5FC1D01334EABB179E425ED3EEC23306
【升级方法】 打包步骤:1、使用升级客户端加载ssu升级包升级即可
【是否需要重启设备】 否
【需要重启哪些服务】 conhttpd
【对客户业务影响】 控制台需要重新登录
【回退方案】 如果升级后出现异常可如下操作回滚: 1、执行cd /hislog/cti-support/[此问题对应的td号]
例如:
td包:20190109_CTI-Support_M7.6.3_TD45172.ssu
对应的回滚目录:/hislog/cti-support/TD45172
需要执行: cd /hislog/cti-support/TD45172
2、执行 ./ssl-support.sh -roll
【升级出问题的保障计划】 如升级遇到任何问题请及时回退,并联系研发跟进
【打包是否拆集群】 否
【注意事项】 1、支持集群环境下升级,无需拆集群,并且只需要在分发器升级即可,真实服务器会自动升级; 分布式环境,无需拆分布式,但每台设备都需要升级,先升级主节点,再升级从节点; 2、支持集群环境下回滚,无需拆集群,先回滚分发器,再回滚真实服务器; 分布式环境,无需拆分布式,先回滚主节点,再回滚从节点;
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
希望可以帮助到大家,有问题一起提出来探讨和分析哈,谢谢~
发表于 2023-8-4 08:08
技术员2级 
