Parche OpenSSL CVE-2014-0160 en ubuntu 12.04?

10

NO, este no es un duplicado de Cómo parchear el error Heartbleed (CVE-2014-0160) en OpenSSL? . Entonces, sigue leyendo.

Estoy viendo información contradictoria con respecto a Ubuntu 12.04:

  1. La página de Heartbleed afirma que Ubuntu 12.04 se ve afectado y necesita ser parcheado con 1.0.1g
  2. El Aviso de seguridad de Ubuntu USN-2165-1 afirma que la versión 1.0.1-4ubuntu5.12del paquete libssl1.0.0debería solucionar el problema en Ubuntu 12.04.

Ahora tengo estos paquetes instalados:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Entonces, si considero los dos puntos anteriores, no estoy seguro de cuál es cierto.

Además, esta página de prueba de Heartbleed dice que mi máquina es vulnerable.

¿Alguien ha podido solucionar este problema con éxito en Ubuntu 12.04? En caso afirmativo, ¿podría darme los pasos que ha tomado?

slayedbylucifer
fuente
Consulte también launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 para la versión fija Changelog
belacqua
no debe ser la versión de OpenSSL 1.0.1g que contiene la solución para CVE-desde 2014 hasta 0160 según la lista de cambios en OpenSSL.org
@ Gregre, corrígeme si me equivoco. La versión se 1.0.1gmuestra solo si se instala a través de la fuente. Si se instaló a través de apt-get, se muestra 1.0.1-4ubuntu5.12. Consulte: ubuntu.com/usn/usn-2165-1
slayedbylucifer

Respuestas:

8

¿Por qué no actualizas? Si Ubuntu dice que necesita 5.12, y ese sitio desangrado dice que es vulnerable, ¿cuál es el problema?

Tengo instalado lo siguiente, que se actualizó ayer o hoy en mi máquina.

ii  openssl                                  1.0.1-4ubuntu5.12
SPRBRN
fuente
20

Ubuntu ha lanzado un parche, solo necesita actualizar y actualizar.

sudo apt-get update
sudo apt-get upgrade

Para verificar si tiene la versión más reciente y parcheada, ejecute:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Marque el elemento "construido en:", debe construirse el 7 de abril.

Thomas K
fuente
+1 ... gracias por la -aopción. Da mucha más información. Todo este tiempo simplemente estaba corriendo openssl version.
slayedbylucifer
1
De nada, lo aprendí ayer;)
Thomas K
Respuesta perfecta. No estaba seguro de que pudiera usar apt-getpara hacer todo.
foochow
cuando ejecuto dpkg, me dicen que tengo 1.0.1-4ubuntu5.12de la biblioteca, pero cuando la ejecuto openssl version -ainforma como OpenSSL 1.0.1 14 Mar 2012con una fecha de compilación de Mon Apr 7 20:33:29 UTC 2014- ¿es importante la fecha de compilación?
HorusKol
@HorusKol, su configuración es buena. Es lo mismo para mí también y eso es realmente deseable. Así que no hay de qué preocuparse.
slayedbylucifer