Согласно трекеру безопасности Debian, уязвимость CVE-2014-0224 исправлена в OpenSSL 1.0.1e-2 + deb7u10. https://security-tracker.debian.org/tracker/CVE-2014-0224
У меня есть:
#apt-cache policy openssl
openssl:
Installed: 1.0.1e-2+deb7u13
Candidate: 1.0.1e-2+deb7u13
Но при попытке пройти тест на соответствие PCI это не удается:
Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-
Nmap scan report for static-ip-inaddr.ip-pool.com ()
Host is up (0.11s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-ccs-injection:
| VULNERABLE:
| SSL/TLS MITM vulnerability (CCS Injection)
| State: VULNERABLE
| Risk factor: High
| Description:
| OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h
| does not properly restrict processing of ChangeCipherSpec messages,
| which allows man-in-the-middle attackers to trigger use of a zero
| length master key in certain OpenSSL-to-OpenSSL communications, and
| consequently hijack sessions or obtain sensitive information, via
| a crafted TLS handshake, aka the "CCS Injection" vulnerability.
|
| References:
| http://www.cvedetails.com/cve/2014-0224
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
|_ http://www.openssl.org/news/secadv_20140605.txt
Следует ли мне как-то (как?) Установить OpenSSL 1.0.1h в Debian Wheezy?
Связанные темы Я прочитал, но не уверен, что могу использовать: Проблемы OpenSSL в Debian Wheezy Обновите openssl в debian squeeze