Rkhunter reporta aviso de openssl

Navegue suas respostas
1

Eu instalei e configurei o rkhunter no Centos e não tenho nenhum aviso, exceto

Verificando a versão do OpenSSL [Warning]

quando eu verifico o arquivo de log, vejo que preciso atualizar o openssl 

root@server [~]#  openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Mon Jun 15 18:29:40 UTC 2015
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  dynamic

Eu tentei atualizar o openssl com o yum openssl update, mas ele diz que está atualizado 

root@server [~]# rpm -q --changelog openssl | grep CVE-2014-0224
- fix CVE-2014-0224 fix that broke EAP-FAST session resumption support
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability

Por favor, diga-me o que fazer para corrigir esse aviso

    
por emir 23.07.2015 / 15:47

2 respostas

2

O RedHat / CentOS não recebe novas versões completas de pacotes como o OpenSSL em versões mais antigas, mas também "backport" apenas correções de segurança; veja link .

Observe que a data "build" em version -a é muito mais recente que a data de lançamento do OpenSSL para 1.0.1e. E se você olhar para a versão em nome do rpm com rpm -q você deve ver openssl-1.0.1e-30.el6 - o "-30" indica os backports adicionados ao que começou como upstream 1.0.1e.

Se você só precisa de uma versão segura , você tem. Se você quer a versão current possivelmente incompatível, você pode construir a partir da fonte upstream; veja link . Basicamente é como a maioria dos projetos de código aberto: tar zx && ./config [opts] && make && make test && make install ; veja o arquivo INSTALL e / ou o script Configure (no topo do extrato) para detalhes.

    
por 23.07.2015 / 17:14
1

Eu tive isso no passado também no RedHat com a versão 1.0.0. Teve a última versão de acordo com a RedHat. Você pode ignorar esta mensagem ou adicionar APP_WHITELIST="openssl:1.0.0" para que rkhunter aceite essa versão e não imprima o aviso.

    
por 23.07.2015 / 16:21

Tags

Dovecot SELinux permissão de MailDir negada Como posso instalar o pacote php53u-xml (CentOS)?