Patch OpenSSL CVE-2014-0160 no ubuntu 12.04?

10

NÃO, isso não é uma duplicata de Como corrigir o bug do Heartbleed (CVE-2014-0160) no OpenSSL? . Então, continue a ler.

Estou vendo informações conflitantes com relação ao Ubuntu 12.04:

  1. A página Heartbleed alega que o Ubuntu 12.04 foi afetado e precisa ser corrigido com 1.0.1g
  2. O Aviso de Segurança do Ubuntu USN-2165-1 afirma que a versão 1.0.1-4ubuntu5.12do pacote libssl1.0.0deve corrigir o problema no Ubuntu 12.04.

Agora eu tenho esses pacotes instalados:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Portanto, se considerar acima de dois pontos, não tenho certeza de qual deles é verdadeiro.

Além disso, esta página de teste do Heartbleed diz que minha máquina é vulnerável.

Alguém já conseguiu corrigir esse problema com sucesso no Ubuntu 12.04? Se sim, você poderia me fornecer as etapas que você tomou?

slayedbylucifer
fonte
Veja também launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 para a versão fixa Changelog
belacqua
não deve a versão openssl ser 1.0.1g que contém a correção para CVE-2014-0160 de acordo com o changelog em OpenSSL.org
@ Greco, corrija-me se estiver errado. A versão 1.0.1gaparece apenas se estiver instalada via fonte. Se instalado via apt-get, ele mostra 1.0.1-4ubuntu5.12. Por favor, consulte: ubuntu.com/usn/usn-2165-1
slayedbylucifer

Respostas:

8

Por que você não atualiza? Se o Ubuntu diz que você precisa da versão 5.12, e esse site insensível diz que você é vulnerável, qual é o problema?

Eu tenho o seguinte instalado, que foi atualizado ontem ou hoje na minha máquina.

ii  openssl                                  1.0.1-4ubuntu5.12
SPRBRN
fonte
20

O Ubuntu lançou um patch, você só precisa atualizar e atualizar.

sudo apt-get update
sudo apt-get upgrade

Para verificar se você possui a versão mais recente e corrigida, execute:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Verifique o item "construído em:", que deve ser compilado em 7 de abril.

Thomas K
fonte
+1 ... obrigado pela -aopção. Dá muito mais informação. Todo esse tempo eu estava simplesmente correndo openssl version.
Slayerbylucifer
1
Seu bem-vindo, eu aprendi ontem;)
Thomas K
Resposta perfeita. Não tinha certeza de que eu poderia usar apt-gettudo para fazer tudo.
Foochow
Quando executo dpkg, sou informado que tenho 1.0.1-4ubuntu5.12da biblioteca - mas quando executo os openssl version -arelatórios como OpenSSL 1.0.1 14 Mar 2012com uma data de compilação de Mon Apr 7 20:33:29 UTC 2014- é a data de compilação que é importante?
HorusKol
@HorusKol, sua configuração está boa. É o mesmo no meu fim também e isso é realmente desejável. Então, nada para se preocupar.
slayedbylucifer