.png)
我在 Linux VPS 上运行 Centos 6.4 和 Apache 2.2,最近将 OpenSSL 升级到 1.0.2h 版本。由于 OpenSSL Padding Oracle 漏洞(CVE-2016-2107),我在 CA 安全委员会 SSL 报告中的评分为 F。Yum 更新没有任何作用。我该如何修复此漏洞?
答案1
Centos 修复了CVE-2016-2107软件包版本 1.0.1e-48.el6_8.1(适用于 Centos 6)中的漏洞,对应于RHSA-2016-0996。
但是,您说您安装了较新的 openssl 版本(版本 1.0.2h,据说不易受此攻击)。目前尚不清楚它是如何安装的,以及您现在是否有两个并排的 openssl 版本,可能一些软件为一个版本构建,而其他软件为另一个版本构建。
您能验证 Apache 实际使用的版本吗?我猜想,如果它是 Centos 打包的 Apache httpd,它仍将使用其 openssl 库,而您的库则位于某个地方。