CentOS 上的 Heartbleed
Heartbleed 是存在於受歡迎的 OpenSSL 加密軟件庫內的一個嚴重漏洞。此弱點讓受保護的資訊可以被盜取,它們本來是受 SSL/TLS 互聯網加密協議所保護的。SSL/TLS 為互聯網上的應用程式提供安全通訊及私隱,這些程式包括有網頁、電郵、即時通訊(IM)及某些虛擬專用網絡(VPN)。
見以下 CVE:
1. 受影響的 CentOS Linux 版本
CentOS-2.1、CentOS-3、CentOS-4、CentOS-5 及 CentOS-7 都不受 Heartbleed 問題影響。
只要是採用預設的 OpenSSL 版本,CentOS-6.5 前的 CentOS-6 版本都不受影響。
CentOS-6.5 受影響的時間由它於 2013 年 12 月 1 日,星期日 16:03:27 UTC 發行起,直至針對 CentOS-6 的修正版 OpenSSL(openssl-1.0.1e-16.el6_5.7)於 2014 年 4 月 8 日,星期二 02:54:58 UTC 發行為止。
要檢查你的 CentOS-6.5 安裝是否受影響,請執行以下指令:
rpm -q openssl
結果應該與以下相仿:
rpm -q openssl openssl-1.0.1e-16.el6_5.15.x86_64
要是你採用 CentOS-6 而結果低於 openssl-1.0.1e-16.el6_5.7,你便存有漏洞。(在此範例中,openssl-1.0.1e-16.el6_5.15 的版本較高,因此該台機器並沒有漏洞)。
2. 曾出現漏洞的 CentOS-6.5 上的緩解方案
假如一台電腦在任何時候曾經出現漏洞,緩解方法就是檢查你已安裝了沒有漏洞的 openssl 版本,然後遵從以下指引的步驟:
3. 更多資訊
4. CentOS 發佈郵件列表
所有 CentOS 安全性更新都是通過 CentOS 的 Announce 郵件列表發行的,因此你如果有意知道安全性更新在何時發行,請訂閱該郵件列表,以便即時獲通知。
Translation of revision 2