OpenSSL auf centOS 6.5 updaten?

A

Azurel

Member
Es gibt diese Fehlermeldung: http://www.golem.de/news/sicherheitsluecke-keys-auslesen-mit-openssl-1404-105685.html

Ich wollte meinen kleinen Server dahingehend aktualisieren, aber er findet kein Update dafür. Ich habe centOS 6.5:

# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
Click to expand...

ein:
# yum update
Loaded plugins: fastestmirror, priorities, replace
Loading mirror speeds from cached hostfile
* atomic: www7.atomicorp.com
* epel: ftp.uni-koeln.de
386 packages excluded due to repository priority protections
Setting up Update Process
No Packages marked for Update
Click to expand...
zeigt bei mir aber keinerlei neue Updates an. Hatte erst vor kurzem eines gemacht. Wie komme ich an das Update ran? Sollte das nicht mit "yum update" automatisch verfügbar sein? ^^°


Wenn ich dies eingebe zeigt er mir eine neue existierende Version an:
# rpm -q --changelog openssl | less
* Mon Apr 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
Click to expand...
 
Abend,

was sagt ein:

Code: 
 openssl version -a | head -2

Bei mir zeigt CentOS folgendes an:

Code: 
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Apr  8 02:39:29 UTC 2014
 
Danke für den Hinweis und schnelle Hilfe. Ja meines zeigt auch diese Ausgabe an. Was ich so verstehen würde das es ja doch aktuell ist. Jedoch... Golem empfiehlt diese Seite, um einen Server zu kontrollieren: http://possible.lv/tools/hb/

Das habe ich auch ausprobiert und der Test sagt mir:

ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Server is vulnerable, please upgrade software ASAP.
Click to expand...

Das verwirrt mich daher immer noch. Habe ich etwas vergessen zu updaten oder muss ich noch was einstellen?
 
Azurel said:
Das verwirrt mich daher immer noch. Habe ich etwas vergessen zu updaten oder muss ich noch was einstellen?
Click to expand...

Dann hängen noch Leichen/Überreste von der alten Version im RAM fest.
Diese kannst du mit
Code: 
lsof -n | grep ssl | grep DEL

ausfindig machen.

Dann einfach die Services neustarten und erneut kontrollieren.
 
Danke schön euch beiden! Ich bedanke mich. :)

Jetzt sagt er:
ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.
Click to expand...
 
Konnte auch kein Update finden welches über YUM kommt. Gibt es nur die Lösung den Source selbst zu Compilieren ??

Code: 
d /usr/src

wget https://www.openssl.org/source/openssl-1.0.1g.tar.gz -O openssl-1.0.1g.tar.gz

tar -zxf openssl-1.0.1g.tar.gz

cd openssl-1.0.1g

./config

make

make test

make install

openssl version

If it shows old version do the steps below.

mv /usr/bin/openssl /root/

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
openssl version

OpenSSL 1.0.1g 7 Apr 2014

Oder hat jemand eine Alternativ Lösung über REPO ?
 
phpman said:
Konnte auch kein Update finden welches über YUM kommt.
Click to expand...

Code: 
> rpm -q --changelog openssl | head
* Mon Apr 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

Das Paket kommt aus dem >updates<-Repo. - 1.0.1e-16.7
Der Fix ist vom Montag.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top