Почему я получаю различные openssl версии?
Я пытаюсь проверить, являюсь ли я выполняющий последнюю версию OpenSSL, мое основное беспокойство heartbleed ошибкой.
Я попробовал 2 команды:
openssl versionyum info openssl
openssl versionвыводOpenSSL 1.0.1e-fips 11 февраля 2013
yum info opensslвыводУстановленные пакеты
Имя: openssl
Дуга: x86_64
Версия: 1.0.1e
Выпуск: 16.el6_5.14
...
У меня есть несколько вопросов:
- Почему я получаю различные версии от этих 2 команд?
- Как я проверяю heartbleed уязвимость, не имея 443 открытых портов?
Название пакета RPM просто не совпадает с версией, которую возвращает само программное обеспечение.
Одна из причин этого - Red Hat & CentOS бэкпорты обновления безопасности и исправления ошибок в версии программного обеспечения, которая была первоначально отправлена. Они берут исправление недостатка безопасности из последней версии пакета исходного программного обеспечения, т.е. openssl 1.0.1h, и применяют это исправление к более старой версии пакета, которая была распространена: т.е. openssl 1.0.1e. Эта политика является причиной того, что в названии пакета в дополнение к номеру версии программного обеспечения есть строка уровня патча.
Вывод версии команды openssl версии остается неизменным 1.0.1e независимо от фактического уровня патча.
rpm -q --changelog openssl показывает, какие обновления сопровождающий пакета включил в версию, которую вы установили в данный момент.
Самая последняя версия показывает:
* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH
* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension