O Ubuntu 14.04 lançará atualizações de segurança para o openssl 1.0.1, mesmo após 31 de dezembro de 2016, ou elas serão movidas para o openssl 1.0.2

5

A versão 1.0.1 atualmente está recebendo apenas correções de bugs de segurança e todo o suporte será descontinuado para esta versão em 31 de dezembro de 2016. < Link > como indicado em seu site.

O OpenSSL é instalado a partir do repositório principal do Ubuntu por padrão durante a instalação.

Como o ubuntu 14.04 tem suporte a longo prazo. Então, devo esperar uma versão atualizada do OpenSSL ou devemos atualizá-lo por nós mesmos.

    
por NEHAL AMIN 22.12.2016 / 13:41

2 respostas

4

A resposta para sua pergunta parece ser que as atualizações de segurança serão liberadas (backported) conforme necessário por meio da duração do suporte do Trusty LTS . Atualmente não há planos para lançar o openssl 1.0.2 para Trusty. De acordo com os posts aqui apenas os patches de segurança serão liberados para o 1.01 após 2016-12- 31 Parece que a última fonte disponível é 1.0.1e disponível aqui

Por quê?

Marc Deslauriers (engenheiro de segurança do Ubuntu) declara: "O Ubuntu normalmente não atualiza para versões de software mais recentes. Como a maioria das outras distribuições do Linux, nós retrocedemos os patches de segurança para as versões de software que enviamos, mesmo que ainda haja suporte a ele."

Portanto, o compromisso com a segurança está presente.

Se você sentir necessidade de fazer upgrade, independentemente de obter a fonte nesta página e compilá-la você mesmo. As instruções de instalação estão incluídas no arquivo, mas são bastante simples, mesmo que você nunca tenha compilado código antes.

Note que eu não estou recomendando isso como um curso de ação, estou simplesmente tentando ser minucioso para cobrir as possibilidades.

  $ ./config
  $ make
  $ make test
  $ make install

Fontes:

link

Instruções de instalação incluídas no link

Como alternativa, você pode atualizar para o xenial (16.04) que tem a versão 1.0.2g já disponível ou como Seth Arnold (Membro do Ubuntu Security Team) indica aqui

"16.04 O pacote openssl do LTS é baseado em um ponto de partida de 1.0.2g. Se rodar o 16.04 LTS não é uma opção então talvez o backportpackage comando do ubuntu-dev-tools pacote pode ajudá-lo."

    
por Elder Geek 22.12.2016 / 17:21
0

Esta Página de pesquisa do Ubuntu não indica que a Canonical está oferecendo uma versão mais nova do openssl para o 14.04 LTS. Dada a perda iminente de todo o suporte para o openssl 1.0.1, seria de esperar que alguém com autoridade de pacote retrocedesse 1.0.2 de 16.04, mas que aparentemente ainda não ocorreu (a partir de 22 de dezembro de 2016).

    
por Zeiss Ikon 22.12.2016 / 13:56