DROWN CVE-2016-0800 Patch mancante su Centos 7

Naviga le tue risposte
1

Il mio amministratore della sicurezza è preoccupato che la mia versione OpenSSL non contenga una patch per DROWN ( cve-2016-0800 ).

Ho eseguito un aggiornamento yum e ho installato l'ultimo CentOS 7 OpenSSL: openssl-1.0.1e-51.el7_2.5.x86_64

Quando controllo il log delle modifiche con rpm -q --changelog openssl-libs | grep 2016 , ho delle correzioni per il CVE recenti ma non per il 2016-0800. Il CentOS 7 OpenSSL ufficiale è davvero ancora vulnerabile? In caso contrario, come posso provare che la mia installazione è valida?

È possibile che l'RPM che ho ricevuto sia errato? In tal caso, come posso ottenere il checksum e dove posso verificarlo rispetto a una versione rpm?

Mi rendo conto che ci sono test specifici per DROWN ma questo è un esempio tra molti altri CVE mancanti e non devo essere preso alla leggera per testarli singolarmente.

    
posta Alex Ethier 27.07.2016 - 23:23
fonte

2 risposte

1

In base al advisory sulla sicurezza di Red Hat per quel CVE , RHEL 7 non è interessato. Se segui l'articolo nei riferimenti esterni a un altro advisory sulla sicurezza , lo vedrai come segue:

Note: This issue was addressed by disabling the SSLv2 protocol by default when using the 'SSLv23' connection methods, and removing support for weak SSLv2 cipher suites. For more information, refer to the knowledge base article linked to in the References section.

    
risposta data 28.07.2016 - 01:06
fonte
0

Mi sono reso conto di cosa stavo veramente cercando: link

Dovrebbe eseguire la scansione e verificare che gli RPM del mio sistema siano aggiornati con qualsiasi CVE.

    
risposta data 28.07.2016 - 18:35
fonte

Leggi altre domande sui tag

Perché paxtest mostra OpenBSD come vulnerabile? Pentesting un Data Warehouse?