linux – 为什么我会得到不同的openssl版本?

前端之家收集整理的这篇文章主要介绍了linux – 为什么我会得到不同的openssl版本?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在尝试检查我是否运行最新的OpenSSL版本,我主要担心的是这个问题.

我尝试了2个命令:

> openssl版本
> yum info openssl

openssl版本输出

OpenSSL 1.0.1e-fips 11 Feb 2013

yum info openssl输出

Installed Packages

Name : openssl

Arch : x86_64

Version : 1.0.1e

Release : 16.el6_5.14

我有一些问题:

>为什么我从这两个命令中获得不同的版本?
>如何在不打开443端口的情况下检查heartbleed漏洞?

解决方法

RPM包的名称与软件本身返回的版本完全不同.

其中一个原因是Red Hat& CentOS backports安全更新和最初发布的软件版本的错误修复.他们从上游软件包的最新版本(即openssl 1.0.1h)中解决了安全漏洞,并将该修复程序应用于旧版本的软件包:即openssl 1.0.1e.除了软件版本号之外,该策略是包名称中的补丁级别字符串的原因.

无论您的实际补丁级别如何,openssl version命令的版本输出都保持不变1.0.1e.

rpm -q –changelog openssl显示软件包维护者在您当前安装的版本中包含的更新.

最新版本显示

* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH

* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
原文链接:https://www.f2er.com/linux/399243.html

猜你在找的Linux相关文章