Я пытаюсь проверить, использую ли я последнюю версию OpenSSL, меня больше всего беспокоит ошибка heartbleed.
Я пробовал 2 команды:
openssl versionyum info openssl
openssl version вывод
OpenSSL 1.0.1e-fips 11 февраля 2013 г.
yum info openssl вывод
Установленные пакеты
Имя: openssl
Арка: x86_64
Версия: 1.0.1e
Релиз: 16.el6_5.14
...
У меня есть пара вопросов:
Название пакета RPM просто не совпадает с версией, возвращаемой самим программным обеспечением.
Одна из причин этого - Red Hat и CentOS. резервные копии обновления безопасности и исправления ошибок в исходной версии программного обеспечения. Они берут исправление для недостатка безопасности в самой последней версии пакета программного обеспечения верхнего уровня, то есть openssl 1.0.1h, и применяют это исправление к более ранней версии пакета, которая была распространена: т.е. openssl 1.0.1e. Эта политика является причиной наличия строки уровня исправления в имени пакета в дополнение к номеру версии программного обеспечения.
Версия вывода openssl version команда остается неизменной 1.0.1e независимо от вашего фактического уровня исправления.
rpm -q --changelog openssl показывает, какие обновления включил сопровождающий пакета в установленную вами версию.
Самая последняя версия показывает:
* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH
* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension