it-swarm-ja.com

Centos7yumセキュリティプラグインに関する質問

Yumセキュリティプラグインが主張どおりに機能していないように感じます ここ

たとえば、システムにopensslの優れたCVEがあることを知っています

yum changelog 2017-01 openssl

Listing changelogs since 2017-01-06

==================== Available Packages ====================
1:openssl-1.0.1e-60.el7_3.1.x86_64       updates
* Mon Feb  6 07:00:00 2017 Tomáš Mráz <[email protected]> 1.0.1e-60.1
- fix CVE-2017-3731 - DoS via truncated packets with RC4-MD5 cipher
- fix CVE-2016-8610 - DoS of single-threaded servers via excessive alerts

changelog stats. 2 pkgs, 2 source pkgs, 1 changelog

しかし、yumセキュリティプラグインを使用して特定のCVE番号をインストールすると、「パッケージがありません」というメッセージが表示されます。

Sudo yum update --cve CVE-2017-3731
No packages needed for security; 629 packages available
Resolving Dependencies

私は古いバージョンを実行していることを知っています

Sudo rpm -q openssl
openssl-1.0.1e-51.el7_2.5.x86_64

「yuminfo-sec」にも正誤表による変更のリストが表示されますが、このCVEのopensslは表示されません。

上記のCVEで「yumupdateinfoinfo --cve」を実行すると、システムが脆弱ではないと主張します

yum updateinfo info --cve CVE-2017-3731
Loaded plugins: changelog, fastestmirror
updateinfo info done

カーネルCVEと修正についても同じように思われますが、セキュリティプラグインに依存して、 dirty cowdouble free などの最近のカーネルCVEを選択することはできないようです。

[localhost ~]$ Sudo yum update --advisory=RHSA-2017:0403 
Loaded plugins: changelog, fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirror.lax.hugeserver.com
 * epel: mirrors.kernel.org
 * extras: centos.sonn.com
 * updates: cosmos.illinois.edu
No packages needed for security; 629 packages available
Resolving Dependencies

[localhost ~]$ Sudo yum updateinfo --advisory=RHSA-2017:0403
Loaded plugins: changelog, fastestmirror
updateinfo summary done

[localhost ~]$ Sudo yum updateinfo RHSA-2017:0403
Loaded plugins: changelog, fastestmirror
updateinfo info done
2
user2066671

CentOS7のセキュリティプラグインがかなり 役に立たない であることを知ってとても悲しいです

2
user2066671

Yumセキュリティプラグインは、yumリポジトリにあるセキュリティメタデータを利用します。

ベースのCentOSリポジトリは確かにそのようなメタデータを提供しませんが、EPELリポジトリ(最も人気のあるサードパーティリポジトリ)は提供します。

したがって、yumセキュリティプラグインは完全に役に立たないわけではありません。

1