Sto eseguendo un server con CentOS 6.5, aggiornato con aggiornamenti recenti di openssl tramite yum update ssl e con indicazioni che la versione corrente ha effettivamente la patch alla vulnerabilità.
$ sudo rpm -q --changelog openssl | grep CVE-2014-0224
- fix CVE-2014-0224 fix that broke EAP-FAST session resumption support
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
Tuttavia, una scansione di laboratorio QUALYS ( link ) indica che sono vulnerabile
This server is vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224) and exploitable. Grade set to F.
Sono in perdita - dovrei fidarmi di QUALYS o del centro distro e del flag rpm? Se non la distro, questo dovrebbe essere aumentato di centos - le mie precedenti segnalazioni di bug sul loro sito sono languite - se questo è serio, come attirare l'attenzione?
Nota : riavviamo sempre tutti i servizi pertinenti dopo le patch.