在Ubuntu 12.04上修补OpenSSL CVE-2014-0160吗?

10

否,这与如何修补OpenSSL中的Heartbleed错误(CVE-2014-0160)不重复。因此,请继续阅读。

我看到有关Ubuntu 12.04的信息冲突:

  1. 心脏出血漏洞页面的Ubuntu 12.04声称受到影响,与1.0.1g修补需求
  2. Ubuntu的安全公告USN-2165-1声称版本1.0.1-4ubuntu5.12的包libssl1.0.0应该可以解决在Ubuntu 12.04的问题。

现在,我确实安装了以下软件包:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

因此,如果我考虑以上两点,我不确定哪一个是正确的。

此外,此Heartbleed测试页还显示我的机器易受攻击。

有谁能够在Ubuntu 12.04上成功解决此问题?如果是,那么您能为我提供您所采取的步骤吗?

security  openssl 
萤光素杀死
source
有关固定版本Changelog的信息,另请参阅launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12
belacqua 2014年
openssl版本不应该是1.0.1g,其中包含根据OpenSSL.org上的变更日志针对CVE-2014-0160的修复程序
@Greco,如果我错了,请纠正我。1.0.1g仅通过源安装版本才会显示。如果通过安装apt-get,则显示1.0.1-4ubuntu5.12。请参考:ubuntu.com/usn/usn-2165-1
slayedbylucifer 2014年
Lucio 2014年

Answers:

8

你为什么不更新?如果Ubuntu说您需要5.12,而那个令人流血的网站说您很脆弱,那是什么问题呢?

我安装了以下组件,该组件昨天或今天在我的计算机上已更新。 

ii  openssl                                  1.0.1-4ubuntu5.12
SPRBRN
source
20

Ubuntu已经发布了一个补丁,您只需要更新和升级即可。

sudo apt-get update
sudo apt-get upgrade

要检查您是否具有最新的修补程序版本,请运行:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64

选中“构建于:”项目,该项目应构建于4月7日。

托马斯·K
source
+1 ...感谢您的-a选择。它提供了更多信息。这段时间我一直在跑步openssl version
slayedbylucifer
1
谢谢你,我昨天才知道的;)
Thomas K
完美答案。不确定我可以apt-get用来做所有事情。
foochow 2014年
当我运行时dpkg,我被告知我拥有1.0.1-4ubuntu5.12该库-但是当我运行该库时openssl version -a,报告的OpenSSL 1.0.1 14 Mar 2012生成日期为Mon Apr 7 20:33:29 UTC 2014-是重要的生成日期吗?
HorusKol 2014年
@HorusKol,您的配置很好。在我的末端也是如此,这确实是可取的。不用担心。
slayedbylucifer 2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.