Я установил и настроил rkhunter на Centos, и у меня нет предупреждений, кроме
Проверка версии OpenSSL [Предупреждение]
когда я проверяю файл журнала, я вижу, что мне нужно обновить openssl
root@server [~]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Mon Jun 15 18:29:40 UTC 2015
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: dynamic
Я попытался обновить openssl с помощью yum openssl update, но он говорит, что он обновлен
root@server [~]# rpm -q --changelog openssl | grep CVE-2014-0224
- fix CVE-2014-0224 fix that broke EAP-FAST session resumption support
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
Подскажите, пожалуйста, что делать, чтобы исправить это предупреждение
RedHat / CentOS не переносит полные новые версии пакетов, таких как OpenSSL, в более старые выпуски, они переносят только исправления безопасности; видеть https://access.redhat.com/security/updates/backporting .
Обратите внимание на дату «сборки» в version -a намного новее даты выпуска OpenSSL 1.0.1e. А если посмотреть версию в имя об / мин с участием rpm -q Тебе следует увидеть openssl-1.0.1e-30.el6 - «-30» указывает на резервные порты, добавленные к тому, что было запущено как восходящий поток 1.0.1e.
Если вам просто нужен безопасный версия, она у вас есть. Если вы хотите ток возможно несовместимая версия, которую можно собрать из исходного кода; видеть https://stackoverflow.com/questions/22952287/how-to-upgrade-openssl-in-centos-6-5-linux-unix-from-source . В основном это похоже на большинство проектов с открытым исходным кодом: tar zx && ./config [opts] && make && make test && make install; увидеть INSTALL файл и / или Configure скрипт (вверху каталога отрывка) для получения подробной информации.
Раньше у меня тоже было такое на RedHat с версией 1.0.0. Была последняя версия по RedHat. Вы можете проигнорировать это сообщение или добавить APP_WHITELIST="openssl:1.0.0" так что rkhunter принимает эту версию и не выводит предупреждение.