CentOS 6 OpenSSL Relleno Oracle vuln. (CVE-2016-2107)

tag-icon tag-icon centos centos6 openssl
CentOS 6 OpenSSL Relleno Oracle vuln. (CVE-2016-2107)

Estoy obteniendo una calificación general muy mala en ssllabs.com, debido a OpenSSL Padding Oracle Vulnerability (CVE-2016-2107).

Esto es lo que estoy usando en este momento (Entorno de producción):

  • Openssl 1.0.1e
  • CentOS 6.5
  • Apache 2.2.26 (instalado manualmente; es decir, no se usa yum aquí)

Más detalles aquí:

yum info openssl

Installed Packages
Name        : openssl
Arch        : x86_64
Version     : 1.0.1e
Release     : 57.el6
Size        : 4.1 M
Repo        : installed
From repo   : base
Summary     : A general purpose cryptography library with TLS implementation
URL         : http://www.openssl.org/
License     : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
            : machines. OpenSSL includes a certificate management tool and shared
            : libraries which provide various cryptographic algorithms and
            : protocols.

Available Packages
Name        : openssl
Arch        : i686
Version     : 1.0.1e
Release     : 57.el6
Size        : 1.5 M
Repo        : base
Summary     : A general purpose cryptography library with TLS implementation
URL         : http://www.openssl.org/
License     : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
            : machines. OpenSSL includes a certificate management tool and shared
            : libraries which provide various cryptographic algorithms and
            : protocols.

rpm -q --changelog "openssl" | head -n 7
* Tue Jan 31 2017 Tomáš Mráz <[email protected]> 1.0.1e-57
- fix CVE-2017-3731 - DoS via truncated packets with RC4-MD5 cipher

* Wed Nov 02 2016 Tomáš Mráz <[email protected]> 1.0.1e-55
- fix CVE-2016-8610 - DoS of single-threaded servers via excessive alerts

* Sat Oct 22 2016 Tomáš Mráz <[email protected]> 1.0.1e-54

ldd mod_ssl.so
ldd: ./mod_ssl.so: No such file or directory

tail -n 200 error_log | grep notice
[Tue Mar 20 14:38:24 2018] [notice] Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1h mod_perl/2.0.5 Perl/v5.10.1 configured -- resuming normal operations

rpm -qa |grep openssl
openssl-1.0.1e-57.el6.x86_64

¿Cómo puedo solucionar este problema? No puedo actualizar mi CentOS 6.5 ahora. Además, yum upgrade opensslno devuelve nada.

EDITAR:

/usr/local/apache2/bin/apachectl -M
Loaded Modules:
 core_module (static)
 authn_file_module (static)
 authn_default_module (static)
 authz_host_module (static)
 authz_groupfile_module (static)
 authz_user_module (static)
 authz_default_module (static)
 auth_basic_module (static)
 include_module (static)
 filter_module (static)
 deflate_module (static)
 log_config_module (static)
 env_module (static)
 expires_module (static)
 headers_module (static)
 setenvif_module (static)
 version_module (static)
 proxy_module (static)
 proxy_connect_module (static)
 proxy_ftp_module (static)
 proxy_ht

Respuesta1

Puede intentar ver si alguien ha creado paquetes separados de OpenSSL y Apache que puedan instalarse en su sistema.

Sin embargo, considerando la antigüedad del sistema operativo, realmente debería actualizar todo el sistema, ya que existen múltiples vulnerabilidades en ese sistema operativo.

información relacionada