De ce primesc diferite versiuni openssl? (Administrarea sistemului, Linux, Centos6, Yum, Openssl, Heartbleed)

CoCoMonk a intrebat.

Încerc să verific dacă rulează cea mai recentă versiune OpenSSL, principala mea preocupare este bug-ul heartbleed.

Am încercat 2 comenzi:

  • openssl version
  • yum info openssl


    openssl version output

    OpenSSL 1.0.1e-fips 11 Feb 2013


    yum info openssl output

    Pachete instalate

    Nume : openssl

    Arhivă : x86_64

    Versiune : 1.0.1e

    Versiune : 16.el6_5.14


Am câteva întrebări:

  1. De ce obțin versiuni diferite din aceste 2 comenzi?
  2. Cum pot verifica vulnerabilitatea heartbleed fără a avea portul 443 deschis?

1 răspunsuri
HBruijn

Numele pachetului RPM pur și simplu nu este același cu versiunea pe care o returnează software-ul în sine.

Unul dintre motivele pentru care se întâmplă acest lucru este Red Hat & CentOS backports actualizări de securitate și corecturi de erori la versiunea de software care a fost inițial livrată. Ei iau o corecție pentru un defect de securitate din cea mai recentă versiune a unui pachet software din amonte, de exemplu, openssl 1.0.1h și aplică acea corecție la o versiune mai veche a pachetului a fost distribuit : de exemplu, openssl 1.0.1e. Această politică este motivul pentru care în numele pachetului, pe lângă numărul versiunii de software, există un șir de caractere de nivel de corecție.

Versiunea de ieșire a pachetului openssl version comenzii rămâne neschimbată 1.0.1e, indiferent de nivelul real al patch-ului.

rpm -q --changelog openssl arată ce actualizări a inclus administratorul pachetului în versiunea pe care o aveți instalată în prezent.

Cea mai recentă versiune arată:

* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH

* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension