Openssl 在 CentOS 6.2 中未更新至 1.0.1g

Openssl 在 CentOS 6.2 中未更新至 1.0.1g

在出现 heartbleed 漏洞后,我将 openssl 更新为 1.0.1g。但令我震惊的是,今天当我查看服务器状态时,它显示 openssl 版本 1.0.1e 容易受到 Heartbleed 攻击。我已通过 rpm 升级了 openssl。升级后,我使用命令 openssl version 进行了检查。它显示输出为“OpenSSL 1.0.1g 7 Apr 2014”,即我已成功更新 rpm。但当我使用以下 rpm 命令 rpm -q openssl 进行检查时。它显示输出为“openssl-1.0.1e-16.el6_5.4.x86_64”。我还使用 rpm info openssl,它显示相同的 1.0.1e 版本的 openssl 如何解决此问题。这样我的网站就不会受到 Heartbleed 攻击。

答案1

RedHat 将 Heartbleed 修复程序反向移植到 OpenSSL 1.0.1e。包含 CVE-2014-0160 修复程序的 OpenSSL 软件包是openssl-1.0.1e-16.el6_5.7.x86_64。如其他地方所述,您可以使用命令仔细检查rpm -q --changelog openssl- 更改日期为 2014 年 4 月 7 日。

如果您尝试在服务器上安装 1.0.1g,则您是在标准 CentOSyum update流程之外进行的,因为 RedHat(以及 CentOS)没有官方的 1.0.1g 版本。

答案2

rpm -q --changelog应该显示修复CVE-2014-0160——TLS 心跳扩展中的信息泄露升级成功后。

相关内容