OpenSSL 更新密碼套件
為了符合 PCI 標準,我需要保護我們的伺服器免受 BEAST 攻擊。雖然我已正確配置 apache / openssl 設置以通過掃描,但這些設置有效地限制了可以在站點 https 端安全交易的客戶端瀏覽器。
我們正在使用Centos 6.5 Final、OpenSSL 1.0.1e-fips 2013 年 2 月 11 日
我找不到任何有關如何更新或添加特定或所有密碼到 OpenSSL 的資訊。
問題 1:密碼套件是分佈在 OpenSSL 程序中還是密碼套件附加組件?如果它們是附加組件,您如何更新它們?
問題 2:如何手動更新到最新的 OpenSSL 版本?目前openssl-1.0.1i?(CentOS 聲明它已經是最新的了——但它不是。)
問題 1:密碼套件是分佈在 OpenSSL 程序中還是密碼套件附加組件?如果它們是附加組件,您如何更新它們?
密碼套件作為 OpenSSL 的一部分分發,因此您必須升級該軟體包才能訪問新的軟體包。
問題 2:如何手動更新到最新的 OpenSSL 版本?目前openssl-1.0.1i?(CentOS 聲明它已經是最新的了——但它不是。)
您可以從 Fedora 儲存庫中獲取源 RPM 並在 CentOS 6.5 上建構它,或者使用 Internet 上為 CentOS 6.5 提供的預建構 RPM 之一。
我會做後者,因為 CentOS 6.5 是一個相當大的安裝基礎,必須有其他人處理使該軟體包已經可用的問題。
此外,您可能還想熟悉 Red Hat 對 OpenSSL 所做的修復的反向移植。鑑於 CentOS 的血統,這些都包括在內。
此答案的摘錄
Red Hat for Enterprise Linux 已將 heartbleed 漏洞的修復程序向後移植到 1.0.1e-16,因此這是 CentOS 發布的官方修復程序。