DROWN CVE-2016-0800 Parche que falta en Centos 7

1

A mi administrador de seguridad le preocupa que mi versión de OpenSSL no contenga un parche para DROWN ( cve-2016-0800 ).

He ejecutado una actualización de yum y he instalado la última versión de OpenSSL de Centos 7: openssl-1.0.1e-51.el7_2.5.x86_64

Cuando verifico el registro de cambios usando rpm -q --changelog openssl-libs | grep 2016 , tengo correcciones recientes de CVE pero no una para 2016-0800. ¿Es el Centos 7 OpenSSL oficial realmente todavía vulnerable? Si no, ¿cómo puedo demostrar que mi instalación es válida?

¿Es posible que el RPM que tengo esté mal etiquetado? Si es así, ¿cómo obtengo su suma de comprobación y dónde puedo verificarla en una versión de rpm?

Me doy cuenta de que hay pruebas específicas para DROWN, pero este es un ejemplo entre muchas otras CVE faltantes y no tengo que estar enganchado para probar cada una de ellas individualmente.

    
pregunta Alex Ethier 27.07.2016 - 23:23
fuente

2 respuestas

1

Según el aviso de seguridad de Red Hat para ese CVE , RHEL 7 no se ve afectado. Si sigue el artículo en las referencias externas a otra aviso de seguridad , verá que dice:

  

Nota: este problema se solucionó al deshabilitar el protocolo SSLv2 de forma predeterminada   al usar los métodos de conexión 'SSLv23', y eliminar el soporte para débiles   Conjuntos de cifrado SSLv2. Para más información, consulte la base de conocimientos.   Artículo vinculado a en la sección de Referencias.

    
respondido por el Swashbuckler 28.07.2016 - 01:06
fuente
0

Me di cuenta de que lo que realmente estaba buscando era: enlace

Debería escanear y verificar que los RPM de mi sistema estén actualizados con cualquier CVE.

    
respondido por el Alex Ethier 28.07.2016 - 18:35
fuente

Lea otras preguntas en las etiquetas