У нас по-прежнему возникают серьезные проблемы с одним из наших серверов. Мы выполнили обновление с помощью yum и перезапустили apache и все службы, которые использовали уязвимую версию openssl. Когда мы тестируем наш сайт, чтобы убедиться, что он все еще уязвим, он говорит, что это так. На нашем сервере установлен apache 2.4.7, скомпилированный из исходников. Есть ли у кого-нибудь идеи, почему говорится, что мы все еще используем уязвимую версию Openssl? Если я сделаю «rpm -qa | grep ssl», я получу следующее:
nss_compat_ossl-0.9.6-1.el6.x86_64
pyOpenSSL-0.10-2.el6.x86_64
openssl-1.0.1e-16.el6_5.7.x86_64
openssl-devel-1.0.1e-16.el6_5.7.x86_64
Есть 2 возможности:
1) Ваша скомпилированная версия Apache использует скомпилированную версию OpenSSL из другого места. Просто используйте ldd в двоичном файле Apache, и он сообщит вам, какую разделяемую библиотеку OpenSSL он использовал:
# ldd /usr/sbin/nginx | grep -i ssl
libssl.so.10 => /usr/lib64/libssl.so.10 (0x0000003816000000)
Если это не дает результата, вероятно, это следующая возможность.
2) У вас есть OpenSSL, статически встроенный в Apache.
В любом случае вам необходимо восстановить его.
Я считаю, что вы компилируете свой apache со статическими библиотеками, поэтому вам может потребоваться перекомпиляция после обновления libssl-dev и openssl.