Цитата |
---|
Дмитрий Данилов пишет: А вот наверное зря мы обновились.
До обновления было: OpenSSL 1.0.0-fips 29 Mar 2010
после обновления стало: OpenSSL 1.0.1e-fips 11 Feb 2013 |
Тут важно понимать, что в оригинальном источнике сказано про _оригинальную_ версию OpenSSL без каких либо патчей. Но в некоторых дистрах (CentOS) занимается порочной практикой подкладывания бэкпортов фиксов в старые версии софта, вводя тем самым весь честный люд в заблуждение.
Для CentOS фикс вышел в версии 1.0.1e-16.7, можете в этом убедиться сами:
Код |
---|
root@server1# rpm -q --changelog openssl | grep -B1 CVE-2014-0160
* Mon Apr 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension |
Проверить текущую очень легко, для начала смотрим текущую версию:
Код |
---|
root@server1# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Apr 8 02:33:43 UTC 2014
platform: linux-elf |
Обратите внимание на поле built on. Как раз тогда и был пересобран пакетик с патчем отключающим расширение Heartbeat.
На всякий случай можно посмотреть информацию о пакетике:
Код |
---|
root@server1# yum info openssl
Loaded plugins: etckeeper, fastestmirror, merge-conf
Loading mirror speeds from cached hostfile
* base: mirror.yandex.ru
* epel: mirror.yandex.ru
* extras: mirror.yandex.ru
* updates: mirror.yandex.ru
Installed Packages
Name : openssl
Arch : i686
Version : 1.0.1e
Release : 16.el6_5.7
Size : 3.9 M
Repo : installed
|
Перезапустите все сервисы использующие OpenSSL и запустите сканер безопасности еще раз, он должен перестать ругаться на OpenSSL. У него тест достаточно стабилен и в отличии от некоторых остальных работает с любой версией TLS.