CentOS 6 OpenSSL Padding Oracle vuln. (CVE-2016-2107)
У меня очень плохой общий рейтинг на ssllabs.com из-за уязвимости OpenSSL Padding Oracle (CVE-2016-2107) .
Это то, что я использую на момент (производственная среда):
- Openssl 1.0.1e
- CentOS 6.5
- Apache 2.2.26 (устанавливается вручную; т.е. здесь не используется yum)
Подробнее здесь:
yum info openssl
Installed Packages
Name : openssl
Arch : x86_64
Version : 1.0.1e
Release : 57.el6
Size : 4.1 M
Repo : installed
From repo : base
Summary : A general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
License : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
: machines. OpenSSL includes a certificate management tool and shared
: libraries which provide various cryptographic algorithms and
: protocols.
Available Packages
Name : openssl
Arch : i686
Version : 1.0.1e
Release : 57.el6
Size : 1.5 M
Repo : base
Summary : A general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
License : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
: machines. OpenSSL includes a certificate management tool and shared
: libraries which provide various cryptographic algorithms and
: protocols.
rpm -q --changelog "openssl" | head -n 7
* Tue Jan 31 2017 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-57
- fix CVE-2017-3731 - DoS via truncated packets with RC4-MD5 cipher
* Wed Nov 02 2016 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-55
- fix CVE-2016-8610 - DoS of single-threaded servers via excessive alerts
* Sat Oct 22 2016 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-54
ldd mod_ssl.so
ldd: ./mod_ssl.so: No such file or directory
tail -n 200 error_log | grep notice
[Tue Mar 20 14:38:24 2018] [notice] Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1h mod_perl/2.0.5 Perl/v5.10.1 configured -- resuming normal operations
rpm -qa |grep openssl
openssl-1.0.1e-57.el6.x86_64
Как я могу решить Эта проблема? Я не могу сейчас обновить CentOS 6.5. Кроме того, yum upgrade openssl ничего не возвращает.
РЕДАКТИРОВАТЬ:
/usr/local/apache2/bin/apachectl -M
Loaded Modules:
core_module (static)
authn_file_module (static)
authn_default_module (static)
authz_host_module (static)
authz_groupfile_module (static)
authz_user_module (static)
authz_default_module (static)
auth_basic_module (static)
include_module (static)
filter_module (static)
deflate_module (static)
log_config_module (static)
env_module (static)
expires_module (static)
headers_module (static)
setenvif_module (static)
version_module (static)
proxy_module (static)
proxy_connect_module (static)
proxy_ftp_module (static)
proxy_ht
0
задан Marcos
20 March 2018 в 04:29
Ссылка
1 ответ
Вы можете попытаться посмотреть, не создал ли кто-нибудь отдельные пакеты OpenSSL и Apache, которые можно установить в вашей системе.
Однако, учитывая возраст ОС, вам действительно следует обновить всю систему целиком. система, так как в этой ОС есть несколько уязвимостей.
0