Патч OpenSSL CVE-2014-0160 на ubuntu 12.04?

НІ, це не дублікат того, як виправити помилку Heartbleed (CVE-2014-0160) у OpenSSL? . Отже, читайте далі.

Я бачу суперечливу інформацію щодо Ubuntu 12.04:

Сторінка Heartbleed стверджує, що Ubuntu 12.04 має постраждати і потребує виправлення з 1.0.1g
В Ubuntu Security Примітка USN-2165-1 стверджує , що версія 1.0.1-4ubuntu5.12для пакета libssl1.0.0повинна виправити проблему на Ubuntu 12.04.

Тепер у мене встановлені такі пакети:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Отже, якщо розглянути вище два моменти, я не впевнений, який з них є правдою.

Крім того, на цій тестовій сторінці Heartbleed написано, що моя машина вразлива.

Хтось ще не зміг успішно виправити цю проблему на Ubuntu 12.04? Якщо так, то чи могли б ви надати мені зроблені вами кроки?

security openssl

— забійний белюцифер
джерело

Дивіться також startpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 для фіксованої версії Changelog

— belacqua

не повинна версія opensl бути 1.0.1g, що містить виправлення для CVE-2014-0160 відповідно до журналу змін на OpenSSL.org

@ Греко, виправ мене, якщо я помиляюся. Версія 1.0.1gвідображається лише в тому випадку, якщо вона встановлена через джерело. Якщо він встановлений через apt-get, він показує 1.0.1-4ubuntu5.12. Будь ласка, зверніться до: ubuntu.com/usn/usn-2165-1

— slayedbylucifer

можливий дублікат Як виправити помилку Heartbleed (CVE-2014-0160) у OpenSSL?

— Лусіо

Відповіді:

Чому б вам не оновити? Якщо Ubuntu каже, що вам потрібно 5.12, а цей сердечний сайт говорить про те, що ви вразливі, в чому проблема?

У мене встановлено наступне, яке було оновлено вчора або сьогодні на моїй машині.

ii  openssl                                  1.0.1-4ubuntu5.12

— SPRBRN
джерело

Ubuntu випустив патч, вам просто потрібно оновити та оновити.

sudo apt-get update
sudo apt-get upgrade

Щоб перевірити, чи є у вас остання та виправлена версія, запустіть:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Позначте пункт "вбудований:", його слід створити 7 квітня.

— Томас К
джерело

+1 ... дякую за -aваріант. Це дає набагато більше інформації. Весь цей час я просто бігав openssl version.

— вбивствоблуцифер

Ваше привітання, я дізнався про це вчора;)

— Thomas K

Ідеальний відповідь. Не був впевнений, що я можу просто використати, apt-getщоб зробити все.

— foochow

коли я запускаю dpkg, мені кажуть, що я маю 1.0.1-4ubuntu5.12бібліотеку, але коли я запускаю, openssl version -aвона звітує як OpenSSL 1.0.1 14 Mar 2012з датою Mon Apr 7 20:33:29 UTC 2014складання - чи важлива дата складання?

— HorusKol

@HorusKol, ваша конфігурація хороша. Це теж у моєму кінці, і це дійсно є бажаним. Тож нічого хвилюватися.

— вбивствоблуцифер