此页专注于重大安全性问题,以及哪些版本的 CentOS(或哪些特定 CentOS 更新)修正这些问题。
Contents
Heartbleed
Heartbleed 是存在于受欢迎的 OpenSSL 加密软件库内的一个严重漏洞。此弱点让受保护的信息可以被盗取,它们本来是受 SSL/TLS 互联网加密协议所保护的。SSL/TLS 为互联网上的应用程序提供安全通讯及私隐,这些程序包括有网页、电邮、即时通讯(IM)及某些虚拟专用网络(VPN)。
Shellshock
Shellshock,又名 Bashdoor,是在广泛使用的 Unix Bash 指令壳内的一系列安全性问题(截止本文共有 6 个 CVE),首个问题是在 2014 年 9 月 24 公布的。很多互联网上的长驻程序如网页服务器,都利用 Bash 来处理部份指令,让入侵者可通过有漏洞的 Bash 随意执行任何指令。这样做会让入侵者能擅自访问计算机系统。
POODLE
POODLE(意即 Padding Oracle On Downgraded Legacy Encryption)攻击是一种趁浏览器降级至 SSL 3.0 而进行的中间人攻击。假若攻击者能成功利用此漏洞,他们平均只需 256 个 SSL 3.0 请求便能看穿加密信息内的 1 个字符。此攻击是由谷歌安全小组的 Bodo Möller、Thai Duong 及 Krzysztof Kotowicz 所发现的。此攻击的严重性被视为不及 Heartbleed 或 Shellshock。
Translation of revision 3