Patch OpenSSL CVE-2014-0160 di ubuntu 12.04?

10

TIDAK, ini bukan duplikat dari Cara menambal bug Heartbleed (CVE-2014-0160) di OpenSSL? . Jadi, baca terus.

Saya melihat informasi yang bertentangan sehubungan dengan Ubuntu 12.04:

  1. The Heartbleed Halaman klaim Ubuntu 12.04 akan terpengaruh dan kebutuhan akan ditambal dengan 1.0.1g
  2. The Pemberitahuan Keamanan Ubuntu USN-2165-1 klaim bahwa versi 1.0.1-4ubuntu5.12untuk paket libssl1.0.0harus memperbaiki masalah pada Ubuntu 12.04.

Sekarang saya sudah menginstal paket-paket ini:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Jadi, jika saya mempertimbangkan dua poin di atas, saya tidak yakin mana yang benar.

Selain itu, halaman pengujian Heartbleed ini mengatakan bahwa mesin saya rentan.

Adakah yang berhasil memperbaiki masalah ini di Ubuntu 12.04? Jika ya, bisakah Anda memberi saya langkah-langkah yang telah Anda ambil?

dibunuh oleh lucifer
sumber
Lihat juga launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 untuk versi tetap Changelog
belacqua
seharusnya versi openssl tidak menjadi 1.0.1g yang berisi perbaikan untuk CVE-2014-0160 sesuai changelog di OpenSSL.org
@ Greco, koreksi saya jika saya salah. Versi 1.0.1ghanya muncul jika diinstal melalui sumber. Jika diinstal melalui apt-get, itu menunjukkan 1.0.1-4ubuntu5.12. Silakan merujuk: ubuntu.com/usn/usn-2165-1
slayedbylucifer

Jawaban:

8

Mengapa Anda tidak memperbarui? Jika Ubuntu mengatakan Anda perlu 5.12, dan situs yang menyedihkan itu mengatakan Anda rentan, apa masalahnya?

Saya telah menginstal yang berikut ini, yang diperbarui kemarin atau hari ini di komputer saya.

ii  openssl                                  1.0.1-4ubuntu5.12
SPRBRN
sumber
20

Ubuntu telah merilis tambalan, Anda hanya perlu memperbarui dan memutakhirkan.

sudo apt-get update
sudo apt-get upgrade

Untuk memeriksa apakah Anda memiliki versi terbaru dan tambalan, jalankan:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Periksa item "built on:", itu seharusnya build 7 Apr.

Thomas K
sumber
+1 ... terima kasih untuk -aopsinya. Ini memberi lebih banyak informasi. Selama ini saya hanya berlari openssl version.
slayedbylucifer
1
Selamat datang, saya mempelajarinya kemarin;)
Thomas K
Jawaban Sempurna. Tidak yakin saya bisa menggunakannya apt-getuntuk melakukan semuanya.
foochow
ketika saya menjalankan dpkg, saya diberitahu bahwa saya memiliki 1.0.1-4ubuntu5.12perpustakaan - tetapi ketika saya menjalankannya openssl version -alaporan seperti OpenSSL 1.0.1 14 Mar 2012dengan tanggal pembuatan Mon Apr 7 20:33:29 UTC 2014- apakah itu tanggal pembuatan yang penting?
HorusKol
@ HorusKol, konfigurasi Anda baik. Hal yang sama juga terjadi pada saya dan itu memang diinginkan. Jadi tidak perlu khawatir.
slayedbylucifer