Como atualizo o OpenSSL no Raspbian

29

Parece que o Raspbian ainda não foi atualizado para lidar com o bug do Heartbleed . sudo apt-get updateentão sudo apt-get upgradenão atualiza nada (este é um sistema que foi atualizado recentemente ontem, portanto, está tudo atualizado de outra maneira).

Quando o faço sudo apt-get install openssl, informa que a versão mais recente está instalada, enquanto o openssl version1.0.1e ainda está instalado. A primeira versão não vulnerável do OpenSSL é a 1.0.1g, então como atualizo para isso?

raspbian security update Jamie Bull
fonte
2
Acabei de verificar minha versão OpenSSL a partir raspbian e usa 0.9.8 que não é vulnerável de acordo com heartbleed.com

Respostas:

26

O pacote principal afetado é libssl1.0.0que, se você puder, basta substituir pela versão corrigida e reiniciar tudo. Você pode tentar baixar um binário e instalar manualmente um arm-hf, usando dpkga versão 1.0.1e-2+deb7u5para wheezy.

Você também pode usar o jessierepositório, apenas para esta atualização única, que deve obter a sua versão 1.0.1g-1.

Após a instalação e reinicialização, é altamente recomendável revogar todas as chaves e certificados e regenerar tudo do zero, usando novas senhas e vetores.

Em 09/04/2014, o repositório principal do wheezy usa a versão corrigida 1.0.1e-2+deb7u5 e, como comentado, você pode obtê-lo assim:

> sudo apt-get update 
> sudo apt-get upgrade

O qual atualizará os seguintes pacotes:

libssl1.0.0 openssh-client openssh-server openssl ssh

* Veja como atualizar seletivamente certos pacotes usando o repositório jessie, sem interromper completamente o chiado, e instalará a gversão mais recente

Adicione as duas linhas a seguir em /etc/apt/sources.list

deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rpi
deb http://archive.raspbian.org/raspbian jessie main contrib non-free rpi

Você então edita o arquivo /etc/apt/preferences(crie o arquivo se não existir) para informar ao apt em quais repositórios ele deve procurar fazer uma atualização. Colocamos jessie em um nível baixo para que, quando você usar o apt-get update, ele ignore jessiee use wheezyrepo. Isso é importante para a etapa após esta.

Package: *
Pin: release n=wheezy
Pin-Priority: 900

Package: *
Pin: release n=jessie
Pin-Priority: 300

Package: *
Pin: release o=Raspbian
Pin-Priority: -10

Agora, por vontade própria, você pode dizer ao apt para usar jessie.

apt-get update
apt-get -t jessie install openssl libssl1.0.0 openssh-client openssh-server ssh

* Um extrato do Capítulo 6, Raspberry Pi Server Essentials.

Piotr Kula
fonte
1
Você pode mostrar como usar o jessierepositório para apenas uma atualização?
HeatfanJohn
1
Obrigado por apontar isso. A empresa de hospedagem desativou meu site há alguns meses e meu ISP bloqueia o acesso ao site, para que eu não o verifiquei há algum tempo. Eu usei o Google para visualizar o conteúdo em cache e, de fato, parece suspeito. Obrigado novamente. Seu livro está ótimo, eu o visualizei na Amazon.
HeatfanJohn
3
Isso foi corrigido agora e atualizei o raspberry pi com os repositórios normais.
gabrign
1
Sim, este é nas atualizações atuais:> sudo apt-get update> sudo apt-get upgrade Os seguintes pacotes serão atualizados: libssl1.0.0 openssh-client openssl openssh-server ssh
keithl8041
2
No meu caso, a versão mais recente é 1.0.1e-2+rvt+deb7u6. Não sei ao certo qual é a rvtporção, mas isso deb7u6indica que é bom. (Posting para ajudar com as pesquisas.)
tratar os seus mods bem