1. дома
  2. Вопрос и ответ
  3. Уязвимость пуделя в Centos 5

Уязвимость пуделя в Centos 5

2014-11-03 3 views
-1

Я бегу centos 5.7 с openssl-0.9.8e-22.el5_11, и на него влияет уязвимость пуделя. Поэтому для решения этой проблемы я обновил версию openssl до openssl-0.9.8e-31.el5_11.Уязвимость пуделя в Centos 5

Я подтвердил, что исправление для уязвимости пуделя доступно в вышеуказанной версии, используя журнал изменений.

[root]# rpm -qa --changelog openssl | grep CVE 
- add support for fallback SCSV to partially mitigate CVE-2014-3566 
- fix CVE-2014-0221 - recursion in DTLS code leading to DoS 
- fix CVE-2014-3505 - doublefree in DTLS packet processing 
- fix CVE-2014-3506 - avoid memory exhaustion in DTLS 
- fix CVE-2014-3508 - fix OID handling to avoid information leak

Но, тем не менее, моя система использует SSLv3 в соответствии с приведенным ниже тестом.

[root]# nmap --script ssl-enum-ciphers -p 443 10.197.65.190 

Starting Nmap 5.51 
Nmap scan report for 10.197.65.190 
Host is up (0.00071s latency). 
PORT STATE SERVICE 
443/tcp open 
| ssl-enum-ciphers: 
| SSLv3 
| Ciphers (
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA 
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
| TLS_RSA_WITH_3DES_EDE_CBC_SHA 
| TLS_RSA_WITH_AES_128_CBC_SHA 
| TLS_RSA_WITH_AES_256_CBC_SHA 
| TLS_RSA_WITH_RC4_128_MD5 
| TLS_RSA_WITH_RC4_128_SHA 
| Compressors (1) 
| uncompressed 
| TLSv1.0 
| Ciphers (
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA 
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
| TLS_RSA_WITH_3DES_EDE_CBC_SHA 
| TLS_RSA_WITH_AES_128_CBC_SHA 
| TLS_RSA_WITH_AES_256_CBC_SHA 
| TLS_RSA_WITH_RC4_128_MD5 
| TLS_RSA_WITH_RC4_128_SHA 
| Compressors (1) 
|_ uncompressed

Nmap сделано: 1 IP адрес (1 хозяин вверх) сканируется в 1,28 секунды

Я получаю немного путают here.Whether действительно пудель уязвимость исправлена ​​в OpenSSL-0.9.8e-31.el5_11 ,

Любая помощь по этому вопросу будет очень полезна.

источник

2014-11-03 user3768397

+0

* «Любая помощь по этому поводу будет высоко оценена» * - что, собственно, вопрос? Stack Overflow - это сайт для программирования и разработки Q & A. И я не могу понять, что здесь задается вопросом программирования. – jww

+0

Stack Overflow - это сайт для вопросов программирования и разработки. Этот вопрос кажется вне темы, потому что речь идет не о программировании или разработке. См. [Какие темы можно задать здесь] (http://stackoverflow.com/help/on-topic) в Справочном центре. Возможно, лучше сказать [Суперпользователь] (http://superuser.com/) или [Unix & Linux Stack Exchange] (http://unix.stackexchange.com/). – jww

ответ

1

Никакое обновление для openssl не будет исправлять POODLE, потому что POODLE является ошибкой дизайна в SSL 3.0, а не ошибкой в ​​OpenSSL. Все это обновление - это добавить параметр, который может быть использован серверами для обнаружения попыток понижения протокола клиента.

Настоящим решением является отключить SSL 3.0 во всех приложениях, которые используют библиотеку OpenSSL.

источник

2014-11-03 14:20:23

+0

Спасибо за ответ. Но в Интернете я обнаружил, что openssl 0.9.8zc содержит исправление для этой проблемы. Это правда? или даже 0.9.8zc также также предотвратит попытки изменения MITM с клиента – user3768397

+1

Опять же, исправления не существует, потому что это проблема дизайна, то есть SSL 3.0 не исправляется. Опция резервного SCSV помогает обнаруживать атаки с понижением, но только если клиент и сервер поддерживают эту опцию. См. Http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566 для получения более подробной информации. –

+0

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3568 В соответствии с приведенной выше ссылкой opensl создается с помощью опции no-sslv3 для отключения поддержки sslv3 с сервера. не могли бы вы прояснить это тоже. Простите, чтобы продолжать задавать тот же самый вопрос. – user3768397

Смежные вопросы

 Смежные вопросы