Leggevo la vulnerabilità Heartbleed nell'OpenSSL e nel suo sito web ufficiale , hanno una lista in cui si menziona che version 1.0.1 to 1.0.1f
è interessato, come mostrato nella foto qui sotto.
Ho installato CentOS 6 nel mio server e aggiornato secondo le ultime versioni disponibili nel repository yum
.
redhat release -
[root@SERVER ~]# cat /etc/redhat-release
CentOS release 6.8 (Final)
output uname -
[root@SERVER ~]# uname -a
Linux SERVER 2.6.32-504.16.2.el6.x86_64 #1 SMP Wed Apr 22 06:48:29 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
Ora, quando sto verificando la versione OpenSSL, mi mostra le seguenti informazioni -
[root@SERVER ~]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
Quindi, nell'output della versione, sono in grado di vedere che la versione è 1.0.1e che è interessata da Heartbleed Vulnerability
e inoltre mi mostra che l'ultima versione è stata aggiornata su 11 Feb 2013
.
Ho dei dubbi seguenti -
- Questo significa che tutte le macchine CentOS 6 sono interessate da Heartbleed ?
- RedHat non fornisce patch per CentOS?
- Cosa dovrei fare ora? Installa manualmente l'ultimo pacchetto OpenSSL O esegui la migrazione a CentOS 7 (anche se non sono sicuro che CentOS 7 contenga pacchetti aggiornati o meno)?