OpenSSL升级- CentOS 7

Question

我有一个运行httpd-2.4.35和openssl-1.0.2k的CentOS 7安装，但是由于漏洞发现，我需要将OpenSSL更新到至少1.0.2s，最好是u。不幸的是，我找不到这些包的RPM，这将使它更简单。我尝试过使用OpenSSL提供的tarball来升级，但是，尽管安装正常，httpd仍然使用Openssl-1.0.2k。似乎我没有执行RPM安装正在执行的所有操作。谁知道我是否可以在某个地方找到这个更新的OpenSSL1.0.2RPM包，或者如何强制httpd (通过RPM安装)使用另一个版本的OpenSSL？

谢谢!

Answer 1

如果您使用的是CentOS 7提供的RPM包中的OpenSSL 1.0.2k，那么在June 2024之前，您将通过yum update收到OpenSSL安全更新。CentOS 7上游的Red Hat with RHEL7是backporting security fixes。这意味着没有对新版本(如1.0.2s )的重新基址，但1.0.2k将添加一个修补程序来解决安全缺陷。最近活跃的Red Hat community discussion几乎涵盖了相同的主题，并引用了相同的解释。

不幸的是，您并没有引用特定的安全缺陷来提供特定的示例。如果您想知道哪个RPM包修复了CVE-2020-1971，您可以访问https://access.redhat.com/security/cve/cve-2020-1971并找出，勘误表RHSA-2020:5566包含修复，因此RPM包"openssl-1.0.2k-21.el7_9".例如，如果你使用的是"openssl-1.0.2k-19.el7“(可以使用rpm -q openssl)，这实际上意味着你应该使用yum update进行更新。