Patch OpenSSL CVE-2014-0160 su Ubuntu 12.04?

10

No, questo non è un duplicato di Come correggere il bug Heartbleed (CVE-2014-0160) in OpenSSL? . Quindi, continua a leggere.

Sto vedendo informazioni contrastanti rispetto a Ubuntu 12.04:

  1. La pagina Heartbleed afferma che Ubuntu 12.04 è interessato e deve essere patchato con 1.0.1g
  2. L' avviso di sicurezza di Ubuntu USN-2165-1 afferma che la versione 1.0.1-4ubuntu5.12del pacchetto libssl1.0.0dovrebbe risolvere il problema su Ubuntu 12.04.

Ora ho questi pacchetti installati:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Quindi, se considero sopra due punti, non sono sicuro di quale sia vero.

Inoltre, questa pagina di test Heartbleed dice che la mia macchina è vulnerabile.

Qualcuno è ancora stato in grado di risolvere correttamente questo problema su Ubuntu 12.04? Se sì, allora potresti fornirmi i passi che hai fatto?

security  openssl 
slayedbylucifer
fonte
Vedi anche launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 per la versione fissa Log delle
modifiche
la versione di openssl non dovrebbe essere 1.0.1g che contiene la correzione per CVE-2014-0160 secondo il log delle modifiche su OpenSSL.org
@Greco, correggimi se sbaglio. La versione viene 1.0.1gvisualizzata solo se è installata tramite sorgente. Se installato tramite il apt-get, mostra 1.0.1-4ubuntu5.12. Fare riferimento: ubuntu.com/usn/usn-2165-1
slayedbylucifer
Lucio,

Risposte:

8

Perché non aggiorni? Se Ubuntu dice che hai bisogno di 5.12 e quel sito dal cuore di cuore dice che sei vulnerabile, qual è il problema?

Ho installato quanto segue, che è stato aggiornato ieri o oggi sulla mia macchina. 

ii  openssl                                  1.0.1-4ubuntu5.12
SPRBRN
fonte
20

Ubuntu ha rilasciato una patch, devi solo aggiornare e aggiornare.

sudo apt-get update
sudo apt-get upgrade

Per verificare se disponi della versione più recente e patchata, esegui:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Controlla l'elemento "built on:", dovrebbe essere costruito il 7 aprile.

Thomas K
fonte
+1 ... grazie per l' -aopzione. Dà molte più informazioni. Per tutto questo tempo stavo semplicemente correndo openssl version.
slayedbylucifer
1
Benvenuto, l'ho imparato ieri;)
Thomas K,
Risposta perfetta. Non ero sicuro di poter usare apt-gettutto per fare tutto.
febbraio
quando corro dpkg, mi viene detto che ho 1.0.1-4ubuntu5.12della biblioteca - ma quando la eseguo openssl version -ariporta come OpenSSL 1.0.1 14 Mar 2012con una data di costruzione di Mon Apr 7 20:33:29 UTC 2014- è la data di costruzione che è importante?
HorusKol l'
@HorusKol, la tua configurazione è buona. Lo stesso vale anche per me e questo è davvero desiderabile. Quindi niente di cui preoccuparsi.
slayedbylucifer,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.