只是想知道是否有人知道为什么 CentOS 没有发布 OpenSSL 更新?我有一台 6.4 机器和更新的 openSSL,但当我发出“openssl version -a”时,它显示 1.0.1e-30。但是,如果您运行“rpm -q openssl | grep CVE-2015”或 CVE-2014,它不会显示在 OpenSSL 网站上发现的最新内容,例如 CVE-2015-0206 或 CVE-2014-3571(还有许多其他内容)。
在这种情况下,为什么 CentOS 没有针对 OpenSSL 中的这些问题发布修补版本?
这并不是在寻找 Heartbleed,而是在 2015 年 1 月 8 日出现的最新 OpenSSL 问题,这些问题并未出现在 CentOS 的 OpenSSL 更新日志中
答案1
CentOS 只会发布 Red Hat 所发布的内容。因此,使用Red Hat 的 CVE 搜索当您质疑勘误表的可用性时;
陈述
这个问题不影响Red Hat Enterprise Linux 5 附带的 openssl 和 openssl097a 版本。此问题不影响 Red Hat Enterprise Linux 6 和 7 附带的 openssl098e 版本。
https://access.redhat.com/security/cve/CVE-2015-0205
这个问题不影响Red Hat Enterprise Linux 5 附带的 openssl 和 openssl097a 版本。此问题不影响Red Hat Enterprise Linux 6 和 7 附带的 openssl098e 版本。
https://access.redhat.com/security/cve/CVE-2015-0206
陈述
这个问题不影响Red Hat Enterprise Linux 5 附带的 openssl097a 版本。此问题影响Red Hat Enterprise Linux 6 和 7 附带的 openssl098e 版本。
https://access.redhat.com/security/cve/CVE-2014-3571
如有需要,Red Hat 将发布 Red Hat 服务公告 (RHSA),它将引导您找到 CVE 的已发布勘误表。
前任: