Łatka OpenSSL CVE-2014-0160 na Ubuntu 12.04?


10

NIE, to nie jest duplikat Jak załatać błąd Heartbleed (CVE-2014-0160) w OpenSSL? . Więc czytaj dalej.

Widzę sprzeczne informacje dotyczące Ubuntu 12.04:

  1. Strona Heartbleed twierdzi, że ma to wpływ na Ubuntu 12.04 i wymaga poprawki w wersji 1.0.1g
  2. Informacja o bezpieczeństwie Ubuntu USN-2165-1 twierdzi, że wersja 1.0.1-4ubuntu5.12pakietu libssl1.0.0powinna rozwiązać problem w Ubuntu 12.04.

Teraz mam zainstalowane te pakiety:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Tak więc, jeśli rozważę powyższe dwa punkty, nie jestem pewien, która z nich jest prawdziwa.

Poza tym ta strona testowa Heartbleed mówi, że moja maszyna jest podatna na ataki.

Czy ktoś był w stanie rozwiązać ten problem z powodzeniem na Ubuntu 12.04? Jeśli tak, to czy mógłbyś podać mi kroki, które podjąłeś?


Zobacz także launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12, aby zobaczyć poprawioną wersję
Dziennik

nie powinna mieć wersji openssl 1.0.1g, która zawiera poprawkę dla CVE-2014-0160 zgodnie z dziennikiem zmian na OpenSSL.org

@ Greco, popraw mnie, jeśli się mylę. Wersja jest 1.0.1gwyświetlana tylko wtedy, gdy jest zainstalowana za pośrednictwem źródła. Jeśli jest zainstalowany za pośrednictwem apt-get, pokazuje 1.0.1-4ubuntu5.12. Proszę odnieść się do: ubuntu.com/usn/usn-2165-1
slayedbylucifer

Odpowiedzi:


8

Dlaczego nie aktualizujesz? Jeśli Ubuntu mówi, że potrzebujesz wersji 5.12, a ta strona z sercem mówi, że jesteś podatny na zagrożenia, to w czym problem?

Mam zainstalowane następujące, które zostały zaktualizowane wczoraj lub dziś na moim komputerze.

ii  openssl                                  1.0.1-4ubuntu5.12

20

Ubuntu wydało łatkę, wystarczy zaktualizować i zaktualizować.

sudo apt-get update
sudo apt-get upgrade

Aby sprawdzić, czy masz najnowszą i poprawioną wersję, uruchom:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Zaznacz element „wbudowany:”, powinien on zostać zbudowany 7 kwietnia.


+1 ... dziękuję za -aopcję. Daje znacznie więcej informacji. Przez cały ten czas po prostu biegłem openssl version.
slayedbylucifer

1
Nie ma za co, nauczyłem się tego wczoraj;)
Thomas K

Idealna odpowiedź. Nie byłem pewien, czy mógłbym po prostu apt-getzrobić wszystko.
foochow

kiedy uruchamiam dpkg, słyszę , że mam 1.0.1-4ubuntu5.12bibliotekę - ale kiedy uruchamiam openssl version -araportuje jak OpenSSL 1.0.1 14 Mar 2012data kompilacji Mon Apr 7 20:33:29 UTC 2014- czy to data kompilacji jest ważna?
HorusKol

@HorusKol, Twoja konfiguracja jest dobra. Z mojego punktu widzenia jest tak samo i to jest rzeczywiście pożądane. Więc nie ma się czym martwić.
slayedbylucifer
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.