Como faço para corrigir o OpenSSL Padding Oracle vuln. (CVE-2016-2107) no Centos 6.4

Question

Como faço para corrigir o OpenSSL Padding Oracle vuln. (CVE-2016-2107) no Centos 6.4

#1 resposta do (2 votos)

1

Estou executando o Centos 6.4 com o Apache 2.2 em um VPS do Linux e recentemente atualizei meu OpenSSL para a versão 1.0.2h. Estou marcando um F no relatório SSL do CA Security Council devido ao OpenSSL Padding Oracle vuln. (CVE-2016-2107). A atualização do Yum não faz nada. Como faço para reparar esta vulnerabilidade?

ssl openssl centos6.4

por user1780242 10.07.2016 / 00:41

1 resposta

Tags ssl openssl centos6.4

O serviço de reinicialização monit se o serviço foi instruído a parar via systemd? Acesso através do jmx ao aplicativo java no contêiner do Docker no host remoto na rede local

score 2 · Answer 1

O Centos corrigiu a vulnerabilidade CVE-2016-2107 na versão do pacote 1.0.1e-48 .el6_8.1 (para Centos 6), que corresponde a RHSA-2016-0996 .

No entanto, você está dizendo que instalou uma versão mais recente do openssl (versão 1.0.2h, que supostamente não é vulnerável a isso). Não está claro como exatamente isso foi instalado e se agora você tem duas versões do openssl lado a lado, possivelmente com algum software construído para um e outro software construído para a outra versão.

Você pode verificar qual versão o Apache realmente usa? Eu estou supondo que se é o Apache httpd empacotado Centos ele ainda estará usando sua biblioteca openssl, enquanto o seu está sentado em algum lugar do lado.