После сердечной ошибки я обновил свой openssl до 1.0.1g. Но, к моему шоку, когда сегодня я вижу свой статус сервера, он показывает мне openssl версии 1.0.1e, уязвимой для Heartbleed. Я обновил свой openssl через rpm. Когда я обновился, я проверил версию команды openssl. Он дает мне вывод как «OpenSSL 1.0.1g 7 апреля 2014 г.», т.е. я успешно обновил rpm. Но когда я проверяю следующую команду rpm, rpm -q openssl. Он показывает мне вывод как «openssl-1.0.1e-16.el6_5.4.x86_64». Также я использовал rpm info openssl, он дает ту же версию 1.0.1e openssl. Как решить эту проблему. так что мой сайт не уязвим для Heartbleed.
RedHat перенес исправление Heartbleed в OpenSSL 1.0.1e. Пакет OpenSSL, содержащий исправление CVE-2014-0160: openssl-1.0.1e-16.el6_5.7.x86_64
. Как упоминалось в другом месте, вы можете дважды проверить это с помощью rpm -q --changelog openssl
команда - изменение датировано 7 апреля 2014 года.
Если вы пытались установить 1.0.1g на сервер, вы сделали это вне стандартной CentOS. yum update
процесс, поскольку RedHat (и, следовательно, CentOS) не имеет официальной версии 1.0.1g.
rpm -q --changelog
должен показать исправление для CVE-2014-0160 - раскрытие информации в расширении пульса TLS после успешного обновления.