Este bug do OpenSSL foi corrigido? (Ubuntu 14.04 LTS)

Question

Este bug do OpenSSL foi corrigido? (Ubuntu 14.04 LTS)

Navegue suas respostas

#1 resposta do Thomas Ward (1 votos)

0

link

Eu preciso das correções para os problemas neste comunicado de segurança, para executar carteiras de criptomoeda.

(Veja link para mais informações)

Mas eis o que recebo quando verifico a versão do OpenSSL que instalei:

$ openssl version
OpenSSL 1.0.1f 6 Jan 2014

Aparentemente, correções são portadas? Mas a data que a biblioteca mostra me causa preocupações significativas. Como posso ter certeza de que essas correções foram portadas para a versão do OpenSSL que eu instalei?

por Green Mo 03.10.2016 / 21:11

1 resposta

Instalando o Java no Ubuntu e terminal 'export PATH' problema

score 1 · Accepted Answer

A maneira mais fácil de encontrar se os problemas são corrigidos é procurar os números CVE individuais (que estão no aviso que foi apagado) na Equipe de Segurança CVE Tracker . Isso indica se CVEs específicos foram corrigidos no Ubuntu ou não, ou se o CVE afeta o Ubuntu.

Com relação ao aviso que você vinculou, todos os CVEs mencionados nele já foram corrigidos no OpenSSL pacakges do Ubuntu .

Obligatory link dump of Ubuntu Security Team CVE tracker data for some of the CVEs in the OpenSSL notice:

CVE-2014-0224 (from that notification): Fix Released (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0224.html)

CVE-2014-0221 (from the notification): Fix Released (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0221.html)

CVE-2014-0195 (from the notification): Fix Released (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0195.html)

CVE-2014-0198 (from the notification): Fix Released (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0198.html)

CVE-2010-5298 (from the notification): Fix Released (https://people.canonical.com/~ubuntu-security/cve/2010/CVE-2010-5298.html)

CVE-2014-3470 (from the notification): Fix Released (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-3470.html)

CVE-2014-0076 (from the notification): Fix Released (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0076.html)

Uma nota sobre os Números de Revisão do Pacote OpenSSL e a openssl version output

Os pacotes para o OpenSSL no Ubuntu são, na maior parte, versão bloqueada para uma versão específica do OpenSSL em cada versão do Ubuntu . Isto é, para Trusty, a versão principal do OpenSSL é OpenSSL 1.0.1f, de janeiro de 2014. Esta é apenas a versão das bibliotecas core , não leva em conta os patches aplicados a ela, etc.

A maneira de determinar se o pacote foi atualizado com correções, etc. é através do número de revisão do pacote Debian e das entradas correspondentes do changelog . A versão do pacote OpenSSL e as bibliotecas correspondentes no Ubuntu Trusty estão atualmente neste post:

 openssl | 1.0.1f-1ubuntu2    | trusty           | source, amd64, arm64, armhf, i386, powerpc, ppc64el
 openssl | 1.0.1f-1ubuntu2.21 | trusty-security  | source, amd64, arm64, armhf, i386, powerpc, ppc64el
 openssl | 1.0.1f-1ubuntu2.21 | trusty-updates   | source, amd64, arm64, armhf, i386, powerpc, ppc64el

Olhando para a segunda coluna, vemos que a versão mais recente disponível para o OpenSSL é 1.0.1f-1ubuntu2.21 , o que significa que teve várias revisões desde a versão inicial do Trusty (que tinha 1.0.1f-1ubuntu2 ).

As regras de compilação do pacote para o pacote do OpenSSL não usam a cadeia Debian nos dados da versão. Ele usa apenas a string de versão original do OpenSSL, 1.0.1f . É por isso que openssl version é enganoso, e para versões pré-empacotadas do OpenSSL, você depende dos changelogs para o pacote, do rastreador de segurança do Ubuntu e da string de versão no pacote em vez da% comandoversion no software empacotado (pelo menos para o OpenSSL).