Come aggiorno OpenSSL su Raspbian


29

Sembra che Raspbian non sia stato ancora aggiornato per gestire il bug Heartbleed . sudo apt-get updatequindi sudo apt-get upgradenon aggiorna nulla (questo è un sistema che è stato aggiornato di recente ieri, altrimenti è tutto aggiornato).

Quando lo faccio sudo apt-get install opensslmi dice che è installata l'ultima versione, mentre openssl versionmi dice che 1.0.1e è ancora installato. La prima versione non vulnerabile di OpenSSL è 1.0.1g, quindi come si aggiorna a questo?


2
Ho appena controllato la mia versione OpenSSl da raspbian e utilizza 0.9.8 che non è vulnerabile secondo heartbleed.com

Risposte:


26

Il pacchetto principale interessato è libssl1.0.0, che se possibile, basta sostituire con la versione patchata, riavviare tutto. Puoi provare a scaricare un binario e installare manualmente un arm-hf, usando dpkgcon la versione 1.0.1e-2+deb7u5per wheezy.

Puoi anche usare il jessierepository, solo per questo singolo aggiornamento, che dovrebbe ottenere la tua versione 1.0.1g-1.

Dopo l'installazione e il riavvio, si consiglia di revocare tutte le chiavi e i certificati e rigenerare tutto da zero, utilizzando nuove password e vettori.


A partire dal 09/04/2014 il repository principale wheezy utilizza la versione patchata 1.0.1e-2+deb7u5 e come commentato, puoi ottenerlo in questo modo:

> sudo apt-get update 
> sudo apt-get upgrade

Che aggiornerà i seguenti pacchetti:

libssl1.0.0 openssh-client openssh-server openssl ssh


* Ecco come aggiornare in modo selettivo determinati pacchetti utilizzando il repository jessie, senza interrompere completamente wheezy e installerà l'ultima gversione

Aggiungi le seguenti due righe in /etc/apt/sources.list

deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rpi
deb http://archive.raspbian.org/raspbian jessie main contrib non-free rpi

Quindi si modifica il file /etc/apt/preferences(creare il file se non esiste) per dire a apt in quali repository dovrebbe apparire per fare un aggiornamento. Mettiamo jessie su una priorità bassa in modo che quando usi apt-get update ignorerà jessiee userà wheezyinvece repo. Questo è importante per il passaggio successivo.

Package: *
Pin: release n=wheezy
Pin-Priority: 900

Package: *
Pin: release n=jessie
Pin-Priority: 300

Package: *
Pin: release o=Raspbian
Pin-Priority: -10

Ora, a tua discrezione, puoi dire a apt di usarlo jessieinvece.

apt-get update
apt-get -t jessie install openssl libssl1.0.0 openssh-client openssh-server ssh

* Un estratto dal capitolo 6, Raspberry Pi Server Essentials.



1
Puoi mostrare come utilizzare il jessierepository per un solo aggiornamento?
Heatfan John,

1
Grazie per la segnalazione. La società di hosting ha disabilitato il mio sito alcuni mesi fa e il mio ISP ha bloccato l'accesso al sito, quindi non lo controllavo da un po 'di tempo. Ho usato Google per visualizzare i contenuti memorizzati nella cache e in effetti sembra sospetto. Grazie ancora. Il tuo libro ha un bell'aspetto, l'ho visto in anteprima su Amazon.
Heatfan John,

3
Questo problema è stato risolto in questo momento e ho aggiornato raspberry pi con i normali repository.
martedì

1
Sì, questo è negli aggiornamenti correnti:> sudo apt-get update> sudo apt-get upgrade Verranno aggiornati i seguenti pacchetti: libssl1.0.0 openssh-client openssh-server openssl ssh
keithl8041

2
Nel mio caso, l'ultima versione è 1.0.1e-2+rvt+deb7u6. Non sono sicuro di quale sia la rvtporzione, ma deb7u6ciò mi indica che è buono. (Pubblicare per aiutare con le ricerche.)
Tratta bene le tue mod
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.