A mi administrador de seguridad le preocupa que mi versión de OpenSSL no contenga un parche para DROWN ( cve-2016-0800
).
He ejecutado una actualización de yum y he instalado la última versión de OpenSSL de Centos 7: openssl-1.0.1e-51.el7_2.5.x86_64
Cuando verifico el registro de cambios usando rpm -q --changelog openssl-libs | grep 2016
, tengo correcciones recientes de CVE pero no una para 2016-0800. ¿Es el Centos 7 OpenSSL oficial realmente todavía vulnerable? Si no, ¿cómo puedo demostrar que mi instalación es válida?
¿Es posible que el RPM que tengo esté mal etiquetado? Si es así, ¿cómo obtengo su suma de comprobación y dónde puedo verificarla en una versión de rpm?
Me doy cuenta de que hay pruebas específicas para DROWN, pero este es un ejemplo entre muchas otras CVE faltantes y no tengo que estar enganchado para probar cada una de ellas individualmente.