리눅스 분류
쉘쇼크 버전 질문
작성자 정보
- rhea 작성
- 작성일
컨텐츠 정보
- 1,695 조회
- 1 댓글
- 0 추천
- 목록
본문
centos를 제외한 다른 배쉬쉘 버전들을 살펴보면 쉘쇼크 이후의 패치 버전들이 4.3.1이상으로 패치가 되었습니다.
하지만 centos 의 경우 4.2.45 이상의 버전으로 패치가 되었는데요
다른 리눅스들의 경우 배쉬쉘 버전이 4.3이상 버전으로 쉘쇼크 패치가 되었는데
왜 centos만 4.2.45 버전을 가지고 가는건가요 ?
관련자료
-
이전
-
다음
댓글 1
지유파파님의 댓글
- 지유파파
- 작성일
제 얕은 지식으로 판단하건데...
OpenSSL 사이트를 보면 버전 정보와 패치 내역이 존재하는데요...
CentOS(Redhat 계열)의 경우 OpenSSL을 바탕으로 몇몇 옵션을 조절하여 별도의 패키지화 시켜서 사용하고 있습니다.
그래서 취약점 코드 명을 Redhat 사이트에서 조회 해보면, OpenSSL 사이트에서 취약점으로 명시되어 있지만 Redhat에서는 각 OS별로 해당 옵션을 사용하지 않기에 해당하지 않는다. 이러한 문구도 종종 눈에 띄죠.
그리고 RPM으로 별도 패키지화 시켜서 사용하기에 넘버링 규칙도 다르게 가져 가고 있는 듯 합니다.
RPM으로 해당 내역이 패치 되었는지 확인하는 방법은 아래와 같습니다.
1. 취약점 코드를 Redhat 홈페이지에서 조회하여 Redhat 계열 OS에서도 패치 대상인지 확인한다.
2. rpm -q --changelog [RPM 패키지명] 명령어를 이용하여 동일한 취약점 코드 패치가 이루어졌느지 확인한다.
OpenSSL 사이트를 보면 버전 정보와 패치 내역이 존재하는데요...
CentOS(Redhat 계열)의 경우 OpenSSL을 바탕으로 몇몇 옵션을 조절하여 별도의 패키지화 시켜서 사용하고 있습니다.
그래서 취약점 코드 명을 Redhat 사이트에서 조회 해보면, OpenSSL 사이트에서 취약점으로 명시되어 있지만 Redhat에서는 각 OS별로 해당 옵션을 사용하지 않기에 해당하지 않는다. 이러한 문구도 종종 눈에 띄죠.
그리고 RPM으로 별도 패키지화 시켜서 사용하기에 넘버링 규칙도 다르게 가져 가고 있는 듯 합니다.
RPM으로 해당 내역이 패치 되었는지 확인하는 방법은 아래와 같습니다.
1. 취약점 코드를 Redhat 홈페이지에서 조회하여 Redhat 계열 OS에서도 패치 대상인지 확인한다.
2. rpm -q --changelog [RPM 패키지명] 명령어를 이용하여 동일한 취약점 코드 패치가 이루어졌느지 확인한다.
