web-dev-qa-db-ja.com

DROWN CVE-2016-0800 Centos7にパッチがありません

私のセキュリティ管理者は、私のOpenSSLバージョンにDROWN(cve-2016-0800)のパッチが含まれていないことを心配しています。

Yumアップデートを実行し、最新のCentos 7OpenSSLをインストールしました:openssl-1.0.1e-51.el7_2.5.x86_64

rpm -q --changelog openssl-libs | grep 2016を使用して変更ログを確認すると、最近のCVE修正がありますが、2016-0800の修正はありません。公式のCentos7 OpenSSLは本当にまだ脆弱ですか?そうでない場合、インストールが有効であることをどのように証明できますか?

取得したRPMが誤ってタグ付けされている可能性はありますか?もしそうなら、どのようにチェックサムを取得し、rpmリリースに対してどこで検証できますか?

DROWN専用のテストがあることはわかっていますが、これは他の多くの欠落しているCVEの1つの例であり、それぞれを個別にテストするためにフックする必要はありません。

1
Alex Ethier

そのCVEのRed Hatセキュリティアドバイザリ によると、RHEL7は影響を受けません。 外部参照の記事 を別の セキュリティアドバイザリ に従えば、次のように表示されます。

注:この問題は、「SSLv23」接続方式を使用するときにデフォルトでSSLv2プロトコルを無効にし、弱いSSLv2暗号スイートのサポートを削除することで解決されました。詳細については、「参照」セクションにリンクされているナレッジベースの記事を参照してください。

1
Swashbuckler

私が本当に探していたのは: https://github.com/OpenSCAP/openscap

システムのRPMがCVEで最新であることをスキャンして確認する必要があります。

0
Alex Ethier