OpenSSL versión 1.0.1e en CentOS 6 - Vulnerabilidad de Heartbleed

Navega tus respuestas
0

Estuve leyendo la vulnerabilidad de Heartbleed en OpenSSL y en su sitio web oficial , tienen una lista que menciona que version 1.0.1 to 1.0.1f está afectado, como se muestra en la siguiente imagen.

Tengo CentOS 6 instalado en mi servidor y actualizado según las últimas versiones disponibles en el repositorio de yum .

versión de redhat -
[root@SERVER ~]# cat /etc/redhat-release CentOS release 6.8 (Final)

salida uname -
[root@SERVER ~]# uname -a Linux SERVER 2.6.32-504.16.2.el6.x86_64 #1 SMP Wed Apr 22 06:48:29 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Ahora, cuando estoy revisando la versión de OpenSSL, me muestra la siguiente información:
[root@SERVER ~]# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013

Entonces, en la salida de la versión, puedo ver que la versión es 1.0.1e que está afectada con Heartbleed Vulnerability y también me muestra que la versión se actualizó por última vez en 11 Feb 2013 .

Tengo dudas siguientes -

  1. ¿Esto significa que todas las máquinas CentOS 6 están afectadas con Heartbleed ?
  2. ¿RedHat no proporciona parches para CentOS?
  3. ¿Qué debo hacer ahora? ¿Instalar manualmente el último paquete de OpenSSL O migrar a CentOS 7 (aunque no estoy seguro de si CentOS 7 contiene paquetes actualizados o no)?
pregunta Gaurav Kansal 25.10.2016 - 12:44
fuente

1 respuesta

3

La mayoría de los distribuidores no solo actualizan a la última versión de OpenSSL, ya que esto podría tener efectos secundarios no deseados (comportamiento ligeramente diferente o incluso nuevos errores). En su lugar, solo hacen una copia del parche y conservan el número de versión. Esto significa que no solo debe mirar la versión de openssl, sino también el número de versión de los distribuidores para

Para CentOS 6.8, actualmente es OpenSSL 1.0.1e pero lanzamiento del proveedor 48.el6_8.3 . Esta versión incluye todas las correcciones de errores recientes y también la solución para Heartbleed: 

* Mon Apr 07 2014 Tomáš Mráz <[email protected]> 1.0.1e-23
  - fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
    
respondido por el Steffen Ullrich 25.10.2016 - 14:22
fuente

Lea otras preguntas en las etiquetas

¿Por qué es un riesgo para la seguridad utilizar el servicio de validación de recibos de Apple directamente desde un dispositivo? ¿Se puede confiar en las descargas de Truecrypt del sitio web de Gibson Research Corporation?