此頁專注於重大安全性問題,以及哪些版本的 CentOS(或哪些特定 CentOS 更新)修正這些問題。
Contents
Heartbleed
Heartbleed 是存在於受歡迎的 OpenSSL 加密軟件庫內的一個嚴重漏洞。此弱點讓受保護的資訊可以被盜取,它們本來是受 SSL/TLS 互聯網加密協議所保護的。SSL/TLS 為互聯網上的應用程式提供安全通訊及私隱,這些程式包括有網頁、電郵、即時通訊(IM)及某些虛擬專用網絡(VPN)。
Shellshock
Shellshock,又名 Bashdoor,是在廣泛使用的 Unix Bash 指令殼內的一系列安全性問題(截止本文共有 6 個 CVE),首個問題是在 2014 年 9 月 24 公佈的。很多互聯網上的長駐程式如網頁伺服器,都利用 Bash 來處理部份指令,讓入侵者可透過有漏洞的 Bash 隨意執行任何指令。這樣做會讓入侵者能擅自存取電腦系統。
POODLE
POODLE(意即 Padding Oracle On Downgraded Legacy Encryption)攻擊是一種趁瀏覽器降級至 SSL 3.0 而進行的中間人攻擊。假若攻擊者能成功利用此漏洞,他們平均只需 256 個 SSL 3.0 請求便能看穿加密信息內的 1 個字元。此攻擊是由谷歌安全小組的 Bodo Möller、Thai Duong 及 Krzysztof Kotowicz 所發現的。此攻擊的嚴重性被視為不及 Heartbleed 或 Shellshock。
Translation of revision 3