Bản vá OpenSSL CVE-2014-0160 trên Ubuntu 12.04?

10

KHÔNG, đây không phải là bản sao của Cách vá lỗi Heartbleed (CVE-2014-0160) trong OpenSSL? . Vì vậy, đọc tiếp.

Tôi đang thấy thông tin mâu thuẫn đối với Ubuntu 12.04:

  1. Các trang Heartbleed tuyên bố Ubuntu 12.04 bị ảnh hưởng và cần phải được vá với 1.0.1g
  2. Các Thông báo Ubuntu an USN-2165-1 tuyên bố rằng phiên bản 1.0.1-4ubuntu5.12cho gói libssl1.0.0nên khắc phục vấn đề trên Ubuntu 12.04.

Bây giờ tôi đã cài đặt các gói này:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Vì vậy, nếu tôi xem xét trên hai điểm, tôi không chắc cái nào đúng.

Bên cạnh đó, trang thử nghiệm Heartbleed này nói rằng máy của tôi dễ bị tấn công.

Có ai đã có thể khắc phục sự cố này thành công trên Ubuntu 12.04 chưa? Nếu có, sau đó bạn có thể cung cấp cho tôi các bước bạn đã thực hiện?

security  openssl 
giết chết
nguồn
Xem thêm launchpad.net/ubfox/+source/openssl/1.0.1-4ubfox5.12 cho phiên bản cố định Changelog
belacqua
phiên bản openssl không phải là 1.0.1g có chứa bản sửa lỗi cho CVE-2014-0160 theo thay đổi trên OpenSSL.org
@Greco, sửa tôi nếu tôi sai. Phiên bản 1.0.1gchỉ hiển thị nếu được cài đặt qua nguồn. Nếu nó được cài đặt thông qua apt-get, nó hiển thị 1.0.1-4ubuntu5.12. Vui lòng tham khảo: ubuntu.com/usn/usn-2165-1
slayedbylucifer
Lucio

Câu trả lời:

8

Tại sao bạn không cập nhật? Nếu Ubuntu nói rằng bạn cần 5.12 và trang web chân thành đó nói rằng bạn dễ bị tổn thương, thì vấn đề là gì?

Tôi đã cài đặt sau, được cập nhật ngày hôm qua hoặc hôm nay trên máy của tôi. 

ii  openssl                                  1.0.1-4ubuntu5.12
XUÂN
nguồn
20

Ubuntu đã phát hành một bản vá, bạn chỉ cần cập nhật và nâng cấp.

sudo apt-get update
sudo apt-get upgrade

Để kiểm tra xem bạn có phiên bản mới nhất và được vá hay không, hãy chạy:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Kiểm tra mục "được xây dựng trên:", mục này sẽ được xây dựng vào ngày 7 tháng 4.

Thomas K
nguồn
+1 ... cảm ơn vì -alựa chọn. Nó cung cấp nhiều thông tin hơn. Tất cả thời gian này tôi chỉ đơn giản là chạy openssl version.
slayedbylucifer
1
Chào mừng bạn, tôi đã học được ngày hôm qua;)
Thomas K
Câu trả lời hoàn hảo. Không chắc chắn rằng tôi chỉ có thể sử dụng apt-getđể làm mọi thứ.
foochow
Khi tôi chạy dpkg, tôi được bảo là tôi có 1.0.1-4ubuntu5.12thư viện - nhưng khi tôi chạy openssl version -anó báo cáo như OpenSSL 1.0.1 14 Mar 2012với ngày xây dựng Mon Apr 7 20:33:29 UTC 2014- đó có phải là ngày xây dựng quan trọng không?
HorusKol
@HorusKol, cấu hình của bạn tốt. Cuối cùng tôi cũng vậy và đó thực sự là một điều đáng mong đợi. Vì vậy, không có gì phải lo lắng.
slayedbylucifer
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.