我在Linux VPS上运行了Apache 2.2的Centos 6.4,最近我将OpenSSL升级到版本1.0.2h。 由于OpenSSL Padding Oracle漏洞,我在CA安全委员会的SSL报告中得分为F。 (CVE-2016年至2107年)。 百胜更新不做任何事情。 我该如何修复此漏洞?
Centos修正了对应于RHSA-2016-0996的软件包版本1.0.1e-48.el6_8.1(对于Centos 6)中的CVE-2016-2107漏洞。
但是,你说的是你已经安装了一个后来的openssl版本(版本1.0.2h,据说这不是脆弱的)。 目前还不清楚这是如何安装,如果你现在有两个并行的openssl版本,可能与一些为其他版本的软件内置的软件。
你可以validationApache实际使用哪个版本? 我猜如果是Centos打包的Apache httpd,它仍然会使用他们的openssl库,而你的是坐在某个地方。