Por que eu recebo versões diferentes do openssl?

6

Estou tentando verificar se estou executando a versão mais recente do OpenSSL, minha principal preocupação é o bug heartbleed.

Eu tentei dois comandos:

  • openssl version
  • yum info openssl

    openssl version output

    OpenSSL 1.0.1e-fips 11 Feb 2013

    yum info openssl output

    Installed Packages

    Name : openssl

    Arch : x86_64

    Version : 1.0.1e

    Release : 16.el6_5.14

    ...

Eu tenho algumas perguntas:

  1. Por que eu obtenho versões diferentes desses dois comandos?
  2. Como faço para verificar a vulnerabilidade heartbleed sem ter a porta 443 aberta?
por CoCoMonk 11.06.2014 / 08:11

1 resposta

8

O nome do pacote RPM simplesmente não é o mesmo que a versão que o próprio software retorna.

Uma das razões para isso é a Red Hat & CentOS backports atualizações de segurança e correções de bugs para a versão do software que foi inicialmente enviada. Eles tomam uma correção para uma falha de segurança da versão mais recente de um pacote de software upstream, ou seja, openssl 1.0.1h e aplicam essa correção a uma versão mais antiga do pacote foi distribuída: ou seja, openssl 1.0.1e. Essa política é o motivo de uma string no nível do patch no nome do pacote, além do número da versão do software.

A saída da versão do comando openssl version permanece inalterada 1.0.1e, independentemente do seu nível de correção real.

rpm -q --changelog openssl mostra quais atualizações o mantenedor do pacote incluiu na versão que você instalou atualmente.

A versão mais atual mostra:

* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH

* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
    
por 11.06.2014 / 10:23