Ho appena ricevuto un aggiornamento del software openssl-1.0.1e-37 . Credo che sia una patch per HeartBleed. Dato che è stato ampiamente riportato che le versioni fino a 1.0.1f sono vulnerabili, come posso verificare questa patch sul mio server senza ricorrere a un correttore esterno?
Sono riuscito a scaricare questo strumento e a metterlo su uno dei miei sistemi in modo da poter testare i miei host senza un controllore esterno:
I risultati erano coerenti con quello che mi aspettavo (sporco da pulire dopo l'applicazione delle patch e una volta non ripulito dopo l'applicazione delle patch, ulteriori indagini hanno dimostrato che lo strumento era corretto e non avevo applicato patch ogni copia della libreria openssl).
E a proposito, quello che stai descrivendo è incredibilmente comune. Molte distribuzioni (in particolare RHEL) patch di backport senza modificare il vecchio rev. In questo caso, Red Hat si impegna per questo: openssl-1.0.1e-16.el6_5.4 è il vecchio RPM guasto e openssl-1.0.1e-16.el6_5.7 è il nuovo RPM fisso. Davvero, Red Hat? Non avresti potuto spingere -16 fino a -17?
Aggiornamento:
In risposta al commento di @ question-overflow, ecco un'eccellente dissezione del problema includendo la procedura dettagliata del codice e i link alla fonte completa.
Leggi altre domande sui tag openssl heartbleed