我正在运行 fedora 15 2.6.32-042stab081.3 x64,我有 OpenSSL 1.0.0j-fips 10 May 2012,我知道它没有被感染。
然而,现有的每个测试工具都会根据证书的年限报告该网站可能存在漏洞。因此,虽然我的系统不需要为此打补丁,但大规模的歇斯底里和恐慌建议我应该更新,这样用户就不会看到该网站可能不安全。通过这些“检查工具”
但是 yum update 什么都没提供。我找不到更新的 rpm,所以我不知道如何更新 openSSL?从源代码安装?
任何建议或观点都会很有帮助。
更新::: 我已经下载了 openssl-1.0.1g 的源代码并从源代码安装,但是在运行 openssl 版本时,它仍然报告旧版本?
答案1
虽然这在 18 之前的 Fedora 上应该不成问题,但我的 Fedora 17 碰巧被一些漏洞扫描器检测到了。您不应该手动更新 SSL 版本,因为这会导致您的其他软件包httpd因 ABI 不正确而停止工作。
我所做的是在没有心跳支持的情况下重建 RPM 包:
$ yum groupinstall rpmdevtools $ yumdownloader --source openssl $ rpm -ivh ./openssl*.src.rpm $ nano ~/rpmbuild/SPECS/openssl.spec --- replace a line like: Release: 1%{?dist} --- with something like: Release: 1%(?dist}.heartbleed --- replace a line like: RPM_OPT_FLAGS="$RPM_OPT_FLAGS -Wa,--noexecstack" --- with something like: RPM_OPT_FLAGS="$RPM_OPT_FLAGS -Wa,--noexecstack -DOPENSSL_NO_HEARTBEATS" $ rpmbuild -ba ~/rpmbuild/SPECS/openssl.spec $ i386 rpmbuild -ba ~/rpmbuild/SPECS/openssl.spec # execute it only if on x86_64 $ rpm -Fvh ~/rpmbuild/RPMS/*/openssl*.rpm