Estoy ejecutando un servidor con CentOS 6.5, parcheado a las actualizaciones recientes de openssl a través de yum update ssl y con indicaciones de que la versión actual tiene el parche a la vulnerabilidad.
$ sudo rpm -q --changelog openssl | grep CVE-2014-0224
- fix CVE-2014-0224 fix that broke EAP-FAST session resumption support
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
Sin embargo, un análisis del laboratorio QUALYS ( enlace ) indica que soy vulnerable
Este servidor es vulnerable a la vulnerabilidad de OpenSSL CCS (CVE-2014-0224) y es explotable. Grado establecido en F.
Estoy en una pérdida. ¿Debo confiar en QUALYS o en la distro de centos y en el indicador de rpm? Si no es la distribución, esto debería aumentar con centos (mis informes de errores anteriores en su sitio han languidecido). Si esto es serio, ¿cómo obtener atención real?
Nota : siempre reiniciamos todos los servicios relevantes después de los parches.