Патч OpenSSL CVE-2014-0160 на Ubuntu 12.04?

НЕТ, это не дубликат Как исправить ошибку Heartbleed (CVE-2014-0160) в OpenSSL? , Итак, читайте дальше.

Я вижу противоречивую информацию относительно Ubuntu 12.04:

Страница Heartbleed утверждает, что Ubuntu 12.04 подвержена уязвимости и должна быть исправлена с 1.0.1g
В Ubuntu Security Примечание USN-2165-1 утверждает , что версия 1.0.1-4ubuntu5.12для пакета libssl1.0.0должна исправить проблему на Ubuntu 12.04.

Теперь у меня установлены эти пакеты:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Итак, если я рассмотрю выше два пункта, я не уверен, какой из них является правдой.

Кроме того, на этой тестовой странице Heartbleed говорится, что моя машина уязвима.

Кто-нибудь еще смог решить эту проблему успешно в Ubuntu 12.04? Если да, то не могли бы вы предоставить мне шаги, которые вы предприняли?

security openssl

— slayedbylucifer
источник

См. Также launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 для исправления версии

— журнала

не должна версия openssl быть 1.0.1g, которая содержит исправление для CVE-2014-0160 согласно журналу изменений на OpenSSL.org

@ Греко, поправь меня, если я ошибаюсь. Версия 1.0.1gотображается только в том случае, если она установлена через источник. Если он установлен через apt-get, он показывает 1.0.1-4ubuntu5.12. Пожалуйста, обратитесь: ubuntu.com/usn/usn-2165-1

— slayedbylucifer

Возможный дубликат Как исправить ошибку Heartbleed (CVE-2014-0160) в OpenSSL?

— Лусио

Ответы:

Почему бы вам не обновить? Если Ubuntu говорит, что вам нужно 5.12, а этот сайт с сердцебиением говорит, что вы уязвимы, в чем проблема?

У меня установлено следующее, которое было обновлено вчера или сегодня на моей машине.

ii  openssl                                  1.0.1-4ubuntu5.12

— SPRBRN
источник

Ubuntu выпустила патч, вам просто нужно обновить и обновить.

sudo apt-get update
sudo apt-get upgrade

Чтобы проверить, установлена ли у вас последняя и исправленная версия, выполните:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Проверьте элемент "build on:", он должен быть собран 7 апреля.

— Томас К
источник

+1 ... спасибо за -aвариант. Это дает гораздо больше информации. Все это время я просто бегал openssl version.

— slayedbylucifer

Добро пожаловать, я узнал это вчера;)

— Томас К

Идеальный ответ. Не был уверен, что смогу просто apt-getсделать все.

— foochow

когда я запускаю dpkg, мне говорят, что у меня есть 1.0.1-4ubuntu5.12библиотека - но когда я запускаю openssl version -aее, сообщает как OpenSSL 1.0.1 14 Mar 2012с датой Mon Apr 7 20:33:29 UTC 2014сборки - важна ли дата сборки?

— HorusKol

@ HorusKol, ваша конфигурация хорошая. Это то же самое в моем конце, и это действительно желательно. Так что не о чем беспокоиться.

— slayedbylucifer