Como verificar qual versão do OpenSSL é usada pelo Apache no Ubuntu 12.04

14

Instalei o Ubuntu12.04 na minha máquina e ele ficou com a versão heartBleed do OpenSSL 1.0.1. Desinstalei o OpenSSL 1.0.1 e instalei a nova versão 1.0.1g consultando este link.

Agora, quero confirmar que o "Apache 2.2.22" disponível no Ubuntu 12.04 está usando a versão 1.0.1g e não a versão 1.0.1 do OpenSSL. Como vou confirmar isso?

12.04 apache2 openssl Bhushan Kawadkar
fonte

Respostas:

22 
$ apt-cache policy openssl
openssl: Installed: xxx

" Instalado: xxx " mostra a versão atualmente instalada do openssl. Heartbleed é corrigido nas seguintes versões do pacote (ou posterior):

Ubuntu 13.10: libssl1.0.0 1.0.1e-3ubuntu1.2

Ubuntu 12.10: libssl1.0.0 1.0.1c-3ubuntu2.7

Ubuntu 12.04 LTS: libssl1.0.0 1.0.1-4ubuntu5.12

Se a versão do seu pacote instalado for inferior a essas, seu sistema estará vulnerável ao Heartbleed.

banho
fonte
Obrigado pela resposta. Isso garantirá que o Apache que eu estou usando (disponível no Ubuntu) esteja usando o OpenSSL1.0.1g atualizado? Eu posso ver Installed: 1.0.1-4ubuntu5.16na minha máquina agora.
Bhushan Kawadkar
Sim. Verifique se você está fazendo atualizações de segurança regulares - o heartbleed não é a única vulnerabilidade de segurança que afeta o 12.04.
bain
OK ótimo :). Quais são as outras vulnerabilidades de segurança que afetam a 12.04. Você pode compartilhar algum link ou documento? Muito obrigado :)
Bhushan Kawadkar
2
Aqui: Avisos de segurança do Ubuntu 12.04 Observe que é apenas a primeira página; se você rolar para baixo, verá que (em julho de 2014) existem 12 páginas de vulnerabilidades no 12.04 . Todos devem fazer atualizações de segurança regulares.
bain