Openssl não sendo atualizado para 1.0.1g no CentOS 6.2

2

Após o bug heartbleed eu atualizei meu openssl para 1.0.1g. Mas para minha surpresa quando hoje eu vejo meu status de servidor, ele me mostra a versão 1.0.1e do openssl que era vulnerável ao Heartbleed. Eu atualizei meu openssl através de rpm. Quando eu tenho atualizado eu verifiquei com o comando openssl version. Ele me dá saída como "OpenSSL 1.0.1g 7 de abril de 2014" ou seja, eu atualizei com êxito o rpm. Mas quando eu verificar com o seguinte comando rpm rpm -q openssl. Mostra-me como "openssl-1.0.1e-16.el6_5.4.x86_64". Também tenho usado o rpm info openssl dá a mesma versão 1.0.1e do openssl Como resolver este problema. para que meu site não seja vulnerável ao Heartbleed.

    
por Huzefa 20.05.2014 / 07:56

2 respostas

4

O RedHat retornou a correção do Heartbleed para o OpenSSL 1.0.1e. O pacote OpenSSL que contém a correção CVE-2014-0160 é openssl-1.0.1e-16.el6_5.7.x86_64 . Como mencionado em outro lugar, você pode verificar isso com o comando rpm -q --changelog openssl - a alteração é de 7 de abril de 2014.

Se você tentou instalar o 1.0.1g no servidor, você o fez fora do processo padrão do CentOS yum update , já que o RedHat (e, portanto, o CentOS) não tem uma versão oficial do 1.0.1g.

    
por 20.05.2014 / 09:07
3

rpm -q --changelog deve mostrar uma correção para CVE-2014-0160 - divulgação de informações na extensão de pulsação do TLS depois de fazer o upgrade com êxito.

    
por 20.05.2014 / 08:25