CentOS 上的 Heartbleed
Heartbleed 是存在于受欢迎的 OpenSSL 加密软件库内的一个严重漏洞。此弱点让受保护的信息可以被盗取,它们本来是受 SSL/TLS 互联网加密协议所保护的。SSL/TLS 为互联网上的应用程序提供安全通讯及私隐,这些程序包括有网页、电邮、即时通讯(IM)及某些虚拟专用网络(VPN)。
见以下 CVE:
1. 受影响的 CentOS Linux 版本
CentOS-2.1、CentOS-3、CentOS-4、CentOS-5 及 CentOS-7 都不受 Heartbleed 问题影响。
只要是采用缺省的 OpenSSL 版本,CentOS-6.5 前的 CentOS-6 版本都不受影响。
CentOS-6.5 受影响的时间由它于 2013 年 12 月 1 日,星期日 16:03:27 UTC 发行起,直至针对 CentOS-6 的修正版 OpenSSL(openssl-1.0.1e-16.el6_5.7)于 2014 年 4 月 8 日,星期二 02:54:58 UTC 发行为止。
要检查你的 CentOS-6.5 安装是否受影响,请执行以下指令:
rpm -q openssl
结果应该与以下相仿:
rpm -q openssl openssl-1.0.1e-16.el6_5.15.x86_64
要是你采用 CentOS-6 而结果低于 openssl-1.0.1e-16.el6_5.7,你便存有漏洞。(在此样例中,openssl-1.0.1e-16.el6_5.15 的版本较高,因此该台机器并没有漏洞)。
2. 曾出现漏洞的 CentOS-6.5 上的缓解方案
假如一台计算机在任何时候曾经出现漏洞,缓解方法就是检查你已安装了没有漏洞的 openssl 版本,然后遵从以下指引的步骤:
3. 更多信息
4. CentOS 发布邮件列表
所有 CentOS 安全性更新都是通过 CentOS 的 Announce 邮件列表发行的,因此你如果有意知道安全性更新在何时发行,请订阅该邮件列表,以便即时获通知。
Translation of revision 2