Как исправить уязвимость Oracle Padding OpenSSL. (CVE-2016-2107) на Centos 6.4
Я использую Centos 6.4 с Apache 2.2 на Linux VPS, и недавно я обновил свой OpenSSL до версии 1.0.2h. Я получил оценку F в отчете Совета безопасности CA по SSL из-за уязвимости OpenSSL Padding Oracle. (CVE-2016-2107). Обновление Yum ничего не делает. Как мне исправить эту уязвимость?
Centos исправил CVE- 2016-2107 уязвимость в версии пакета 1.0.1e-48.el6_8.1 (для Centos 6), которая соответствует RHSA-2016-0996 .
Однако вы говорите, что вы установили более позднюю версию openssl (версия 1.0.2h, которая предположительно не подвержена этому). Неясно, как именно это было установлено, и если вместо этого у вас есть две версии openssl бок о бок, возможно, с некоторым программным обеспечением, созданным для одной, и другим программным обеспечением, созданным для другой версии.
Вы можете проверить, какую версию Apache действительно использует? Я предполагаю, что если это Apache httpd, упакованный в Centos, он все равно будет использовать их библиотеку openssl, а ваша находится где-то сбоку.