OpenSSL versione 1.0.1e in CentOS 6 - Vulnerabilità legata al heartbleed

0

Leggevo la vulnerabilità Heartbleed nell'OpenSSL e nel suo sito web ufficiale , hanno una lista in cui si menziona che version 1.0.1 to 1.0.1f è interessato, come mostrato nella foto qui sotto.

Ho installato CentOS 6 nel mio server e aggiornato secondo le ultime versioni disponibili nel repository yum .

redhat release -
[root@SERVER ~]# cat /etc/redhat-release CentOS release 6.8 (Final)

output uname -
[root@SERVER ~]# uname -a Linux SERVER 2.6.32-504.16.2.el6.x86_64 #1 SMP Wed Apr 22 06:48:29 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Ora, quando sto verificando la versione OpenSSL, mi mostra le seguenti informazioni -
[root@SERVER ~]# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013

Quindi, nell'output della versione, sono in grado di vedere che la versione è 1.0.1e che è interessata da Heartbleed Vulnerability e inoltre mi mostra che l'ultima versione è stata aggiornata su 11 Feb 2013 .

Ho dei dubbi seguenti -

  1. Questo significa che tutte le macchine CentOS 6 sono interessate da Heartbleed ?
  2. RedHat non fornisce patch per CentOS?
  3. Cosa dovrei fare ora? Installa manualmente l'ultimo pacchetto OpenSSL O esegui la migrazione a CentOS 7 (anche se non sono sicuro che CentOS 7 contenga pacchetti aggiornati o meno)?
posta Gaurav Kansal 25.10.2016 - 12:44
fonte

1 risposta

3

La maggior parte dei distributori non si limita ad aggiornare alla versione più recente di OpenSSL poiché potrebbe avere effetti collaterali indesiderati (comportamento leggermente diverso o persino nuovi bug). Invece, eseguono il backport della patch e mantengono il numero di versione. Ciò significa che non dovresti solo guardare la versione di openssl ma il numero di versione del distributore in.

Per CentOS 6.8 questo è attualmente OpenSSL 1.0.1e ma versione del venditore 48.el6_8.3 . Questa versione include tutti i bugfix recenti e anche la correzione per Heartbleed:

* Mon Apr 07 2014 Tomáš Mráz <[email protected]> 1.0.1e-23
  - fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
    
risposta data 25.10.2016 - 14:22
fonte

Leggi altre domande sui tag