Question

我使用openssl-0.9.8e-22.el5_11运行centos 5.7，并受到贵宾犬漏洞的影响。为了解决这个问题，我已将openssl版本升级为openssl-0.9.8e-31.el5_11。

我已经确认过使用changelog可以在上面的版本中找到针对poodle漏洞的修复程序。

[root]# rpm -qa --changelog openssl | grep CVE
- add support for fallback SCSV to partially mitigate CVE-2014-3566
- fix CVE-2014-0221 - recursion in DTLS code leading to DoS
- fix CVE-2014-3505 - doublefree in DTLS packet processing
- fix CVE-2014-3506 - avoid memory exhaustion in DTLS
- fix CVE-2014-3508 - fix OID handling to avoid information leak

但是，我的系统仍在按照以下测试使用SSLv3。

[root]# nmap --script ssl-enum-ciphers -p 443 10.197.65.190

Starting Nmap 5.51
Nmap scan report for 10.197.65.190
Host is up (0.00071s latency).
PORT STATE SERVICE
443/tcp open
| ssl-enum-ciphers:
| SSLv3
| Ciphers (
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_RSA_WITH_AES_128_CBC_SHA
| TLS_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_RC4_128_MD5
| TLS_RSA_WITH_RC4_128_SHA
| Compressors (1)
| uncompressed
| TLSv1.0
| Ciphers (
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_RSA_WITH_AES_128_CBC_SHA
| TLS_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_RC4_128_MD5
| TLS_RSA_WITH_RC4_128_SHA
| Compressors (1)
|_ uncompressed

完成Nmap：在1.28秒内扫描1个IP地址（1个主机）

我在这里有点困惑。在openssl-0.9.8e-31.el5_11中是否修复了狮子狗漏洞。

对此的任何帮助都将非常值得赞赏。

Answer 1

没有升级openssl会修复POODLE，因为POODLE是SSL 3.0中的设计缺陷而不是OpenSSL中的错误。所有升级都是添加一个选项，可以用作服务器来检测客户端的协议降级尝试。

真正的解决方法是在使用OpenSSL库的所有应用程序中禁用SSL 3.0。

Centos 5中的贵宾犬漏洞

1 个答案: