Jak zaktualizować OpenSSL na Raspbian

29

Wygląda na to, że Raspbian nie został jeszcze zaktualizowany, aby poradzić sobie z błędem Heartbleed . sudo apt-get updatewtedy sudo apt-get upgradenic nie aktualizuje (jest to system, który został niedawno zaktualizowany, więc w przeciwnym razie wszystko jest aktualne).

Gdy to zrobię sudo apt-get install openssl, powie mi, że najnowsza wersja jest zainstalowana, a openssl versioninformuje, że 1.0.1e jest nadal zainstalowane. Pierwsza niezabezpieczona wersja OpenSSL to 1.0.1g, więc jak to zrobić?

Jamie Bull
źródło
2
Właśnie sprawdziłem moją wersję OpenSSl z raspbian i używa ona 0.9.8, co nie jest podatne na atak według heartbleed.com

Odpowiedzi:

26

Podstawowym pakietem libssl1.0.0, którego dotyczy problem, jest to , że jeśli możesz, po prostu zastąp go łataną wersją, uruchom wszystko ponownie. Możesz spróbować pobrać plik binarny i ręcznie zainstalować arm-hf, używając dpkgwersji1.0.1e-2+deb7u5 dla wheezy.

Możesz również użyć jessierepozytorium, tylko do tej jednorazowej aktualizacji, która powinna uzyskać wersję1.0.1g-1 .

Po instalacji i ponownym uruchomieniu komputera zdecydowanie zaleca się odwołać wszystkie klucze i certyfikaty oraz zregenerować wszystko od zera, używając nowych haseł i wektorów.


W dniu 09.04.2014 główne repozytorium wheezy używa poprawionej wersji 1.0.1e-2+deb7u5 i jak skomentowano, możesz to uzyskać w następujący sposób:

> sudo apt-get update 
> sudo apt-get upgrade

Który zaktualizuje następujące pakiety:

libssl1.0.0 openssh-client openssh-server openssl ssh


* Oto, jak selektywnie aktualizować niektóre pakiety przy użyciu repozytorium jessie, bez całkowitego łamania wheezy, i zainstaluję najnowszą gwersję

Dodaj następujące dwa wiersze do /etc/apt/sources.list

deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rpi
deb http://archive.raspbian.org/raspbian jessie main contrib non-free rpi

Następnie edytuj plik /etc/apt/preferences(utwórz plik, jeśli nie istnieje), aby poinformować apt, w których repozytoriach powinien szukać aktualizacji. Stawiamy jessie na niski priorytet, aby podczas korzystania z aktualizacji apt-get zignorował jessiei użył wheezyrepo. Jest to ważne dla następnego kroku.

Package: *
Pin: release n=wheezy
Pin-Priority: 900

Package: *
Pin: release n=jessie
Pin-Priority: 300

Package: *
Pin: release o=Raspbian
Pin-Priority: -10

Teraz możesz dowolnie użyć apt jessiezamiast tego.

apt-get update
apt-get -t jessie install openssl libssl1.0.0 openssh-client openssh-server ssh

* Wyciąg z rozdziału 6, Raspberry Pi Server Essentials.


Piotr Kula
źródło
1
Czy możesz pokazać, jak korzystać z jessierepozytorium tylko dla jednej aktualizacji?
HeatfanJohn
1
Dzięki za zwrócenie na to uwagi. Firma hostingowa wyłączyła moją witrynę kilka miesięcy temu, a mój dostawca usług internetowych blokuje dostęp do strony, więc od jakiegoś czasu jej nie sprawdzałem. Użyłem Google, aby wyświetlić buforowaną zawartość i rzeczywiście wygląda podejrzanie. Dzięki jeszcze raz. Twoja książka wygląda świetnie, pokazałem jej podgląd na Amazon.
HeatfanJohn
3
Zostało to teraz naprawione i zaktualizowałem Raspberry Pi o normalne repozytoria.
gabrign,
1
Tak, to jest w aktualnych aktualizacjach:> sudo apt-get update> sudo apt-get upgrade Następujące pakiety zostaną zaktualizowane: libssl1.0.0 openssh-client openssh-server openssl ssh
keithl8041
2
W moim przypadku najnowsza wersja to 1.0.1e-2+rvt+deb7u6. Nie jestem pewien, co to za rvtporcja, ale deb7u6wskazuje mi, że to dobrze. (Publikowanie, aby pomóc w wyszukiwaniu.)
traktuj swoje mody dobrze