Я использую Centos 6.4 с Apache 2.2 на Linux VPS, и недавно я обновил свой OpenSSL до версии 1.0.2h. Я получил оценку F в отчете Совета безопасности CA по SSL из-за уязвимости OpenSSL Padding Oracle. (CVE-2016-2107). Обновление Yum ничего не делает. Как мне исправить эту уязвимость?
Centos исправил CVE-2016-2107 уязвимость в пакете версии 1.0.1e-48.el6_8.1 (для Centos 6), что соответствует RHSA-2016-0996.
Однако вы говорите, что установили более позднюю версию openssl (версия 1.0.2h, которая предположительно не уязвима для этого). Неясно, как именно это было установлено, и если теперь у вас есть две версии openssl бок о бок, возможно, с каким-то программным обеспечением, созданным для одной, и другим программным обеспечением, созданным для другой версии.
Можете ли вы проверить, какую версию действительно использует Apache? Я предполагаю, что если это Apache httpd, упакованный в Centos, он по-прежнему будет использовать их библиотеку openssl, а ваша находится где-то сбоку.