CentOS 6 OpenSSL Padding Oracle-Sicherheitslücke (CVE-2016-2107)

tag-icon tag-icon centos centos6 openssl
CentOS 6 OpenSSL Padding Oracle-Sicherheitslücke (CVE-2016-2107)

Ich bekomme auf ssllabs.com eine sehr schlechte Gesamtbewertung aufgrund von OpenSSL Padding Oracle Vulnerability (CVE-2016-2107).

Dies ist, was ich derzeit verwende (Produktionsumgebung):

  • Openssl 1.0.1e
  • CentOS 6.5
  • Apache 2.2.26 (manuell installiert, d. h. yum wird hier nicht verwendet)

Weitere Details hier:

yum info openssl

Installed Packages
Name        : openssl
Arch        : x86_64
Version     : 1.0.1e
Release     : 57.el6
Size        : 4.1 M
Repo        : installed
From repo   : base
Summary     : A general purpose cryptography library with TLS implementation
URL         : http://www.openssl.org/
License     : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
            : machines. OpenSSL includes a certificate management tool and shared
            : libraries which provide various cryptographic algorithms and
            : protocols.

Available Packages
Name        : openssl
Arch        : i686
Version     : 1.0.1e
Release     : 57.el6
Size        : 1.5 M
Repo        : base
Summary     : A general purpose cryptography library with TLS implementation
URL         : http://www.openssl.org/
License     : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
            : machines. OpenSSL includes a certificate management tool and shared
            : libraries which provide various cryptographic algorithms and
            : protocols.

rpm -q --changelog "openssl" | head -n 7
* Tue Jan 31 2017 Tomáš Mráz <[email protected]> 1.0.1e-57
- fix CVE-2017-3731 - DoS via truncated packets with RC4-MD5 cipher

* Wed Nov 02 2016 Tomáš Mráz <[email protected]> 1.0.1e-55
- fix CVE-2016-8610 - DoS of single-threaded servers via excessive alerts

* Sat Oct 22 2016 Tomáš Mráz <[email protected]> 1.0.1e-54

ldd mod_ssl.so
ldd: ./mod_ssl.so: No such file or directory

tail -n 200 error_log | grep notice
[Tue Mar 20 14:38:24 2018] [notice] Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1h mod_perl/2.0.5 Perl/v5.10.1 configured -- resuming normal operations

rpm -qa |grep openssl
openssl-1.0.1e-57.el6.x86_64

Wie kann ich dieses Problem lösen? Ich kann mein CentOS 6.5 jetzt nicht aktualisieren. Außerdem yum upgrade opensslwird nichts zurückgegeben.

BEARBEITEN:

/usr/local/apache2/bin/apachectl -M
Loaded Modules:
 core_module (static)
 authn_file_module (static)
 authn_default_module (static)
 authz_host_module (static)
 authz_groupfile_module (static)
 authz_user_module (static)
 authz_default_module (static)
 auth_basic_module (static)
 include_module (static)
 filter_module (static)
 deflate_module (static)
 log_config_module (static)
 env_module (static)
 expires_module (static)
 headers_module (static)
 setenvif_module (static)
 version_module (static)
 proxy_module (static)
 proxy_connect_module (static)
 proxy_ftp_module (static)
 proxy_ht

Antwort1

Sie können versuchen, zu prüfen, ob jemand separate Pakete von OpenSSL und Apache erstellt hat, die auf Ihrem System installiert werden können.

Angesichts des Alters des Betriebssystems sollten Sie jedoch wirklich das gesamte System aktualisieren, da das Betriebssystem zahlreiche Schwachstellen aufweist.

verwandte Informationen