私のセキュリティ管理者は、私のOpenSSLバージョンにDROWN(cve-2016-0800
)のパッチが含まれていないことを心配しています。
Yumアップデートを実行し、最新のCentos 7OpenSSLをインストールしました:openssl-1.0.1e-51.el7_2.5.x86_64
rpm -q --changelog openssl-libs | grep 2016
を使用して変更ログを確認すると、最近のCVE修正がありますが、2016-0800の修正はありません。公式のCentos7 OpenSSLは本当にまだ脆弱ですか?そうでない場合、インストールが有効であることをどのように証明できますか?
取得したRPMが誤ってタグ付けされている可能性はありますか?もしそうなら、どのようにチェックサムを取得し、rpmリリースに対してどこで検証できますか?
DROWN専用のテストがあることはわかっていますが、これは他の多くの欠落しているCVEの1つの例であり、それぞれを個別にテストするためにフックする必要はありません。
そのCVEのRed Hatセキュリティアドバイザリ によると、RHEL7は影響を受けません。 外部参照の記事 を別の セキュリティアドバイザリ に従えば、次のように表示されます。
注:この問題は、「SSLv23」接続方式を使用するときにデフォルトでSSLv2プロトコルを無効にし、弱いSSLv2暗号スイートのサポートを削除することで解決されました。詳細については、「参照」セクションにリンクされているナレッジベースの記事を参照してください。
私が本当に探していたのは: https://github.com/OpenSCAP/openscap
システムのRPMがCVEで最新であることをスキャンして確認する必要があります。