Acabo de recibir una actualización de software openssl-1.0.1e-37 . Creo que es un parche para HeartBleed. Dado que se informó ampliamente que las versiones de hasta 1.0.1f son vulnerables, ¿cómo puedo verificar este parche en mi servidor sin recurrir a un verificador externo?
Pude descargar esta herramienta y ponerla en uno de mis sistemas para poder probar mis hosts sin un comprobador externo:
Los resultados fueron consistentes con lo que esperaba (sucio para limpiar después de parchear, y la única vez que no se limpió después de parchear, una investigación más profunda demostró que la herramienta era correcta y no había parcheado cada copia de la biblioteca openssl).
Y, por cierto, lo que estás describiendo es increíblemente común. Muchas distribuciones (RHEL en particular) respaldan los parches sin cambiar la antigua rev. Red Hat en realidad se hace con el pastel de este - openssl-1.0.1e-16.el6_5.4 es el RPM antiguo malo, y openssl-1.0.1e-16.el6_5.7 es el nuevo RPM corregido. ¿De verdad, Red Hat? ¿No pudiste haber empujado -16 hasta -17?
Actualizar:
En respuesta al comentario de @ question-overflow, aquí hay una excelente disección del problema Incluyendo el tutorial del código y los enlaces a la fuente completa.
Qualsys SSL Labs está probando el retorno de basura para detectar HeartBleed y varias otras vulnerabilidades encontradas en los servidores web. También rastrea algunas configuraciones que pueden causar serios problemas con la seguridad SSL / TLS.
Lea otras preguntas en las etiquetas openssl heartbleed