网上不少文档说怎么升级openssl，经过实际测试发现都是假升级，也就是openssl的命令工具本身升级，SSL动态链接库是没有升级的，
如出现openssl漏洞，想要升级到最新的版本规避，无法通过普通的模式升级达到规避漏洞的效果，因为linux ld工具并不会将新编译出来的so链接到其他应用当中去，比如已经编译好的nginx，此时要全部重新编译，个人进行了一些测试和分析，可以有一种方法可以实现，记录一下。

注意：1.1.1版本和1.02版本的差异比较大，如果只是为了修复补丁，建议1.02最新版本即可，强制升到1.1.1没测试，但是隐隐的感觉不太好。

实际步骤记录为：

1.下载软件包：

     https://www.openssl.org/source/old/1.0.2/openssl-1.0.2u.tar.gz

2.安装编译工具

  sudo yum group install 'Development Tools'
  sudo yum install perl-core zlib-devel -y

3.生成版本信息文件

以下部分是其他网上文档没有提的

Linux发行版会在so动态链接库中加入版本信息，应用在启动的时候，动态连接器会根据应用ELF文件中符号表中的信息，将应用和so文件进行动态链接，如应用在编译的时候，引用的外部so文件符号表是带版本信息的，那么在ld的时候，会匹配应用符号表中的版本信息以及so文件中的版本信息是否一致，经典开源三部曲config/make all/make install出来so文并不带版本信息，所以无法被系统的其他组件调用，如果强制替换，会造成系统其他组件工作不正常。 （可能有让ld忽略版本的方法，没找到）

另外在centos中，版本和源码网站的是不一致的，比如libssl，在centos7 so符号表中的版本号为libssl.so.10,是libssl.so.1.0.2k通过ln创建了一个hlink为libssl.so.10。

下面是一种可以实现的歪门邪道:

思路是通过读取1.02k版本so的符号表信息，创建version-script 文件加入config流程，使编译出来的so文件具备和centos发行版中的so文件一致的符号版本信息,就可以被调用了，先整理原so中的符号版本，使用下面的命令：

readelf -s libssl.so.1.0.2k |grep "@@" |awk -F "@@" '{print $2}'|sort|uniq -c 
readelf -s libcrypto.so.1.0.2k |grep "@@" |awk -F "@@" '{print $2}'|sort|uniq -c 

整理出一共四个符号版本号，然后分别整理出所有的符号列表

获取版本为OPENSSL_1.0.1_EC 的符号列表

1.1 readelf -s libcrypto.so.1.0.2k|grep OPENSSL_1.0.1_EC|awk -F "@@" '{print $1}' | awk '{print $8";"}'

获取版本为OPENSSL_1.0.2 的符号列表

1.2 readelf -s libcrypto.so.1.0.2k|grep OPENSSL_1.0.2|awk -F "@@" '{print $1}' | awk '{print $8}'

获取版本为libssl.so.10的 符号列表：

  1.3 readelf -s libssl.so.1.0.2k|grep libssl.so.10|awk -F "@@" '{print $1}' |awk '{print $8";"}'

获取版本为 libcrypto.so.10的符号列表

  1.4 readelf -s libssl.so.1.0.2k|grep libcrypto.so.10 |awk -F "@@" '{print $1}' |awk '{print $8";"}'

创建version.map文件

libssl.so.10 {
 global :
 == 此处添加1.3部分的输出内容=
};

OPENSSL_1.0.2 {
 global :
 == 此处添加1.2 部分的输出内容=
};

OPENSSL_1.0.1_EC  {
global :
 == 此处添加1.21部分的输出内容=
}

libcrypto.so.10   {
global :
 == 此处添加1.21部分的输出内容=
}

4.config&make all & make install

./config --prefix=/usr/local --openssldir=/usr/local/openssl shared   -Wl,--version-script=/root/openssl-OpenSSL_1_0_2u/version.map -Wl,-Bsymbolic-functions zlib-dynamic

make all 
make test 
make install 

此后将生成的libssl.so.1.0.0/libcrypt.so.1.0.0 拷贝到/usr/lib64

rm 掉原来的libssl.so.10/libcrypto.so.10 的hardlink ，用新的文件创建两个同名hardlink即可。

验证：

ldd nginx
linux-vdso.so.1 => (0x00007ffdd7516000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fea42795000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fea42579000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007fea42342000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fea420e0000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007fea41e6e000)
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007fea41a0d000)
libz.so.1 => /lib64/libz.so.1 (0x00007fea417f7000)
libc.so.6 => /lib64/libc.so.6 (0x00007fea4142a000)
/lib64/ld-linux-x86-64.so.2 (0x00007fea42d4e000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007fea41227000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007fea40fda000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007fea40cf2000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007fea40aee000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007fea408bb000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007fea406ad000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007fea404a9000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007fea40290000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fea40069000)

使用ltrace -l libssl.so.1.0.0 nginx 有如下的输出：

ltrace -l libssl.so.1.0.0 nginx
nginx->SSL_library_init(0x7fe5ecf64760, 0x7fe5ecf64770, 0xffffffff, 0x564af8894b00) = 1
nginx->SSL_load_error_strings(0x7fe5ed5c1be0, 0x7fe5ed6302ed, 0, 0) = 0
nginx->SSL_get_ex_new_index(0, 0, 0, 0) = 0
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 0
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 1
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 2
nginx->SSL_CTX_get_ex_new_index(0, 0, 0, 0) = 3
nginx->SSLv23_method(0x564af88fcc88, 57, 0x564af88fcc80, 0) = 0x7fe5ed841880
nginx->SSL_CTX_new(0x7fe5ed841880, 57, 0x564af88fcc80, 0) = 0x564af88f8650
nginx->SSL_CTX_set_ex_data(0x564af88f8650, 0, 0x564af88fcc80, 0x564af74c0524) = 1
nginx->SSL_CTX_set_ex_data(0x564af88f8650, 3, 0, 0) = 1
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 1, 0) = 0x1000005
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 2, 0) = 0x1000007
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 0, 0) = 0x1000007
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 32, 0) = 0x1000027
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 0, 0) = 0x1000027
nginx->SSL_CTX_ctrl(0x564af88f8650, 32, 128, 0) = 0x10000a7

说明nginx已经在没有重新编译的情况下，正常调用ssl的so。

正常来说还是等发行版的patch感觉比较合适，以上是魔改的版本，适合自己用。