Estuve leyendo la vulnerabilidad de Heartbleed en OpenSSL y en su sitio web oficial , tienen una lista que menciona que version 1.0.1 to 1.0.1f
está afectado, como se muestra en la siguiente imagen.
Tengo CentOS 6 instalado en mi servidor y actualizado según las últimas versiones disponibles en el repositorio de yum
.
versión de redhat -
[root@SERVER ~]# cat /etc/redhat-release
CentOS release 6.8 (Final)
salida uname -
[root@SERVER ~]# uname -a
Linux SERVER 2.6.32-504.16.2.el6.x86_64 #1 SMP Wed Apr 22 06:48:29 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
Ahora, cuando estoy revisando la versión de OpenSSL, me muestra la siguiente información:
[root@SERVER ~]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
Entonces, en la salida de la versión, puedo ver que la versión es 1.0.1e que está afectada con Heartbleed Vulnerability
y también me muestra que la versión se actualizó por última vez en 11 Feb 2013
.
Tengo dudas siguientes -
- ¿Esto significa que todas las máquinas CentOS 6 están afectadas con Heartbleed ?
- ¿RedHat no proporciona parches para CentOS?
- ¿Qué debo hacer ahora? ¿Instalar manualmente el último paquete de OpenSSL O migrar a CentOS 7 (aunque no estoy seguro de si CentOS 7 contiene paquetes actualizados o no)?