Patch OpenSSL CVE-2014-0160 sur Ubuntu 12.04?


10

NON, ce n'est pas un doublon de Comment corriger le bogue Heartbleed (CVE-2014-0160) dans OpenSSL? . Alors, lisez la suite.

Je vois des informations contradictoires concernant Ubuntu 12.04:

  1. La page Heartbleed affirme qu'Ubuntu 12.04 est affecté et doit être corrigé avec 1.0.1g
  2. L' avis de sécurité Ubuntu USN-2165-1 affirme que la version 1.0.1-4ubuntu5.12du package libssl1.0.0devrait résoudre le problème sur Ubuntu 12.04.

Maintenant, j'ai ces packages installés:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Donc, si je considère ci-dessus deux points, je ne sais pas lequel est vrai.

En outre, cette page de test Heartbleed indique que ma machine est vulnérable.

Quelqu'un a-t-il déjà pu résoudre ce problème avec succès sur Ubuntu 12.04? Si oui, pourriez-vous me fournir les mesures que vous avez prises?


Voir aussi launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 pour la version fixe Changelog
belacqua

la version openssl ne devrait-elle pas être 1.0.1g qui contient le correctif pour CVE-2014-0160 selon le changelog sur OpenSSL.org

@Greco, corrigez-moi si je me trompe. La version 1.0.1gn'apparaît que si elle est installée via la source. S'il est installé via le apt-get, il s'affiche 1.0.1-4ubuntu5.12. S'il vous plaît se référer: ubuntu.com/usn/usn-2165-1
slayedbylucifer

Réponses:


8

Pourquoi ne mettez-vous pas à jour? Si Ubuntu dit que vous avez besoin de la version 5.12 et que ce site Heartbleed dit que vous êtes vulnérable, quel est le problème?

J'ai installé les éléments suivants, qui ont été mis à jour hier ou aujourd'hui sur ma machine.

ii  openssl                                  1.0.1-4ubuntu5.12

20

Ubuntu a publié un correctif, il vous suffit de mettre à jour et de mettre à niveau.

sudo apt-get update
sudo apt-get upgrade

Pour vérifier si vous disposez de la dernière version corrigée, exécutez:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Vérifiez l'élément "construit sur:", il devrait être construit le 7 avril.


+1 ... merci pour l' -aoption. Cela donne beaucoup plus d'informations. Pendant tout ce temps, je courais simplement openssl version.
slayedbylucifer le

1
Votre accueil, je l'ai appris hier;)
Thomas K

Réponse parfaite. Je ne savais pas que je pourrais tout simplement utiliser apt-getpour tout faire.
foochow

quand je lance dpkg, on me dit que j'ai 1.0.1-4ubuntu5.12de la bibliothèque - mais quand je l'exécute, openssl version -ac'est comme OpenSSL 1.0.1 14 Mar 2012avec une date de construction de Mon Apr 7 20:33:29 UTC 2014- est-ce la date de construction qui est importante?
HorusKol

@HorusKol, votre configuration est bonne. Il en va de même pour moi et c'est effectivement souhaitable. Donc, ne vous inquiétez pas.
slayedbylucifer
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.