NIE, to nie jest duplikat Jak załatać błąd Heartbleed (CVE-2014-0160) w OpenSSL? . Więc czytaj dalej.
Widzę sprzeczne informacje dotyczące Ubuntu 12.04:
- Strona Heartbleed twierdzi, że ma to wpływ na Ubuntu 12.04 i wymaga poprawki w wersji 1.0.1g
- Informacja o bezpieczeństwie Ubuntu USN-2165-1 twierdzi, że wersja
1.0.1-4ubuntu5.12
pakietulibssl1.0.0
powinna rozwiązać problem w Ubuntu 12.04.
Teraz mam zainstalowane te pakiety:
# dpkg -l | grep ssl
ii libssl1.0.0 1.0.1-4ubuntu5.10 SSL shared libraries
ii openssl 1.0.1-4ubuntu5.10 Secure Socket Layer (SSL) binary and related cryptographic tools
# lsb_release -a | grep -i description
Description: Ubuntu 12.04.3 LTS
Tak więc, jeśli rozważę powyższe dwa punkty, nie jestem pewien, która z nich jest prawdziwa.
Poza tym ta strona testowa Heartbleed mówi, że moja maszyna jest podatna na ataki.
Czy ktoś był w stanie rozwiązać ten problem z powodzeniem na Ubuntu 12.04? Jeśli tak, to czy mógłbyś podać mi kroki, które podjąłeś?
1.0.1g
wyświetlana tylko wtedy, gdy jest zainstalowana za pośrednictwem źródła. Jeśli jest zainstalowany za pośrednictwemapt-get
, pokazuje1.0.1-4ubuntu5.12
. Proszę odnieść się do: ubuntu.com/usn/usn-2165-1Odpowiedzi:
Dlaczego nie aktualizujesz? Jeśli Ubuntu mówi, że potrzebujesz wersji 5.12, a ta strona z sercem mówi, że jesteś podatny na zagrożenia, to w czym problem?
Mam zainstalowane następujące, które zostały zaktualizowane wczoraj lub dziś na moim komputerze.
źródło
Ubuntu wydało łatkę, wystarczy zaktualizować i zaktualizować.
Aby sprawdzić, czy masz najnowszą i poprawioną wersję, uruchom:
Zaznacz element „wbudowany:”, powinien on zostać zbudowany 7 kwietnia.
źródło
-a
opcję. Daje znacznie więcej informacji. Przez cały ten czas po prostu biegłemopenssl version
.apt-get
zrobić wszystko.dpkg
, słyszę , że mam1.0.1-4ubuntu5.12
bibliotekę - ale kiedy uruchamiamopenssl version -a
raportuje jakOpenSSL 1.0.1 14 Mar 2012
data kompilacjiMon Apr 7 20:33:29 UTC 2014
- czy to data kompilacji jest ważna?