我觉得 yum 安全插件没有像宣传的那样工作这里
例如,我知道我的系统上有一个未解决的 openssl CVE
yum changelog 2017-01 openssl
Listing changelogs since 2017-01-06
==================== Available Packages ====================
1:openssl-1.0.1e-60.el7_3.1.x86_64 updates
* Mon Feb 6 07:00:00 2017 Tomáš Mráz <[email protected]> 1.0.1e-60.1
- fix CVE-2017-3731 - DoS via truncated packets with RC4-MD5 cipher
- fix CVE-2016-8610 - DoS of single-threaded servers via excessive alerts
changelog stats. 2 pkgs, 2 source pkgs, 1 changelog
但是当我使用 yum 安全插件安装特定的 CVE 编号时,我得到“没有软件包”
sudo yum update --cve CVE-2017-3731
No packages needed for security; 629 packages available
Resolving Dependencies
我知道我正在运行旧版本
sudo rpm -q openssl
openssl-1.0.1e-51.el7_2.5.x86_64
“yum info-sec” 也应该列出带有勘误表的更改列表,但没有列出带有此 CVE 的 openssl。
当我使用上面提到的 CVE 运行“yum updateinfo info --cve”时,它声称我的系统不存在漏洞
yum updateinfo info --cve CVE-2017-3731
Loaded plugins: changelog, fastestmirror
updateinfo info done
内核 CVE 和修复似乎也存在同样的情况,我似乎无法依赖安全插件来挑选任何最近的内核 CVE,例如脏牛或者双重释放
[localhost ~]$ sudo yum update --advisory=RHSA-2017:0403
Loaded plugins: changelog, fastestmirror
Loading mirror speeds from cached hostfile
* base: mirror.lax.hugeserver.com
* epel: mirrors.kernel.org
* extras: centos.sonn.com
* updates: cosmos.illinois.edu
No packages needed for security; 629 packages available
Resolving Dependencies
[localhost ~]$ sudo yum updateinfo --advisory=RHSA-2017:0403
Loaded plugins: changelog, fastestmirror
updateinfo summary done
[localhost ~]$ sudo yum updateinfo RHSA-2017:0403
Loaded plugins: changelog, fastestmirror
updateinfo info done
答案1
我很遗憾地发现 CentOS7 上的安全插件几乎无用
答案2
yum 安全插件将利用 yum 存储库中的安全元数据。
虽然基础 CentOS 存储库确实不提供这样的元数据,但 EPEL 存储库(最受欢迎的第三方存储库)却提供了。
所以 yum 安全插件并不是完全没用的。