Patch OpenSSL CVE-2014-0160 auf Ubuntu 12.04?

10

NEIN, dies ist kein Duplikat von Wie wird der Heartbleed-Fehler (CVE-2014-0160) in OpenSSL gepatcht? . Also lesen Sie weiter.

Ich sehe widersprüchliche Informationen in Bezug auf Ubuntu 12.04:

  1. Die Heartbleed-Seite behauptet, Ubuntu 12.04 sei betroffen und muss mit 1.0.1g gepatcht werden
  2. Der Ubuntu-Sicherheitshinweis USN-2165-1 besagt , dass die Version 1.0.1-4ubuntu5.12für das Paket libssl1.0.0das Problem unter Ubuntu 12.04 beheben sollte.

Jetzt habe ich diese Pakete installiert:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Wenn ich also die beiden oben genannten Punkte betrachte, bin ich mir nicht sicher, welcher wahr ist.

Außerdem besagt diese Heartbleed-Testseite , dass mein Computer anfällig ist.

Hat jemand dieses Problem unter Ubuntu 12.04 bereits erfolgreich beheben können? Wenn ja, können Sie mir dann die Schritte mitteilen, die Sie unternommen haben?

security openssl Slayedbylucifer
quelle
Siehe auch launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 für die feste Version Changelog
belacqua
sollte die openssl-Version nicht 1.0.1g sein, die den Fix für CVE-2014-0160 gemäß dem Änderungsprotokoll auf OpenSSL.org enthält
@Greco, korrigiere mich, wenn ich falsch liege. Die Version 1.0.1gwird nur angezeigt, wenn sie über die Quelle installiert ist. Wenn es über das installiert ist apt-get, wird es angezeigt 1.0.1-4ubuntu5.12. Bitte beziehen Sie sich auf: ubuntu.com/usn/usn-2165-1
Slayedbylucifer
Mögliches Duplikat von Wie wird der Heartbleed-Fehler (CVE-2014-0160) in OpenSSL gepatcht?
Lucio

Antworten:

8

Warum aktualisierst du nicht? Wenn Ubuntu sagt, dass Sie 5.12 benötigen und diese Heartbleed-Site sagt, dass Sie verwundbar sind, was ist das Problem?

Ich habe folgendes installiert, das gestern oder heute auf meinem Computer aktualisiert wurde. 

ii  openssl                                  1.0.1-4ubuntu5.12
SPRBRN
quelle
20

Ubuntu hat einen Patch veröffentlicht, den Sie nur aktualisieren und aktualisieren müssen.

sudo apt-get update
sudo apt-get upgrade

Führen Sie Folgendes aus, um zu überprüfen, ob Sie über die neueste und gepatchte Version verfügen:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

Überprüfen Sie das Element "Build on:", es sollte am 7. April erstellt werden.

Thomas K.
quelle
+1 ... danke für die -aOption. Es gibt viel mehr Informationen. Die ganze Zeit rannte ich einfach openssl version.
Slayedbylucifer
1
Gern geschehen, ich habe es gestern gelernt;)
Thomas K
Perfekte Antwort. War mir nicht sicher, ob ich einfach apt-getalles machen könnte.
Foochow
Wenn ich laufe dpkg, wird mir gesagt, dass ich 1.0.1-4ubuntu5.12von der Bibliothek habe - aber wenn ich sie ausführe openssl version -a, berichtet sie wie OpenSSL 1.0.1 14 Mar 2012mit einem Erstellungsdatum von Mon Apr 7 20:33:29 UTC 2014- ist es das Erstellungsdatum, das wichtig ist?
HorusKol
@HorusKol, deine Konfiguration ist gut. Das ist auch bei mir so und das ist in der Tat wünschenswert. Also kein Grund zur Sorge.
Slayedbylucifer