web-dev-qa-db-ja.com

なぜ異なるopensslバージョンを取得するのですか?

最新のOpenSSLバージョンを実行しているかどうかを確認しようとしていますが、主な懸念事項はハートブリードのバグです。

私は2つのコマンドを試しました:

  • openssl version
  • yum info openssl


    openssl version出力

    OpenSSL 1.0.1e-fips 2013年2月11日


    yum info openssl出力

    インストールされたパッケージ

    名前:openssl

    アーチ:x86_64

    バージョン:1.0.1e

    リリース:16.el6_5.14

    .。


いくつか質問があります。

  1. これらの2つのコマンドから異なるバージョンを取得するのはなぜですか?
  2. 443ポートを開かずにハートブリードの脆弱性を確認するにはどうすればよいですか?
6
CoCoMonk

RPMパッケージの名前は、ソフトウェア自体が返すバージョンと同じではありません。

その理由の1つは、Red Hat&CentOS backports 最初に出荷されたソフトウェアバージョンのセキュリティアップデートとバグ修正です。彼らは、アップストリームソフトウェアパッケージの最新バージョン(openssl 1.0.1h)からセキュリティ上の欠陥を修正し、その修正を配布された古いバージョンのパッケージ(openssl 1.0.1e)に適用します。このポリシーは、ソフトウェアバージョン番号に加えて、パッケージ名にパッチレベル文字列を含める理由です。

openssl versionコマンドのバージョン出力は、実際のパッチレベルに関係なく、1.0.1eのまま変更されません。

rpm -q --changelog opensslは、パッケージメンテナーが現在インストールしているバージョンに含まれているアップデートを示します。

最新バージョンは次のとおりです。

* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH

* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
8
HBruijn