Preciso atualizar mod_ssl para CVE-2014-0160?

5

Eu atualizei o OpenSSL para a versão 1.0.1 g no meu Ubuntu 12.04.4 LTS:

user@server# dpkg -l |grep openssl
ii  openssl                              1.0.1-4ubuntu5.12                   Secure Socket Layer (SSL) binary and related cryptographic tools
ii  python-openssl                       0.12-1ubuntu2.1                     Python wrapper around the OpenSSL library

Pergunta: Eu preciso atualizar o Apache2 mod_ssl também? Se sim, como?

user@server# strings /usr/lib/apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012

Versão do Apache2

user@server# dpkg -l |grep apache2
ii  apache2                              2.4.2-2~ppa1                        Apache HTTP Server
ii  apache2-bin                          2.4.2-2~ppa1                        Apache HTTP Server (binary files and modules)
ii  apache2-data                         2.4.2-2~ppa1                        Apache HTTP Server (common files)
ii  apache2-mpm-worker                   2.4.2-2~ppa1                        transitional worker MPM package for apache2
ii  apache2-utils                        2.4.2-2~ppa1                        Apache HTTP Server (utility programs for web servers)
rc  apache2.2-common                     2.2.22-1ubuntu1.4                   Apache HTTP Server common files
    
por sebastian 08.04.2014 / 22:01

2 respostas

1

Não, o ModSSL é uma interface para o OpenSSL, portanto, não precisará de atualizações em si.

    
por NGRhodes 08.04.2014 / 22:36
0

Estou usando o Kali (Backtrack), que é baseado no Debian, mas ainda é semelhante ao Ubuntu.

Eu atualizei primeiro o openssl (apt-get install openssl), mas depois de parar o & amp; Ao iniciar meu servidor web apache2, a vulnerabilidade ainda estava lá (testando com ssltest.py por Jared Stafford ... prontamente disponível na web).

Encontrado instruções de que também é necessário atualizar o "libssl" da seguinte forma: apt-get install libssl1.0.0

Depois disso e reiniciando o meu servidor web, a vulnerabilidade desapareceu.

Em geral, o openssl 1.0.1g é a versão mínima corrigida / segura. Note que para distribuições Debian, a versão mínima / segura do openssl e libssl1.0.0 é 1.0.1e-2 + deb7u6. Eu não sei qual seria a versão correspondente do Ubuntu.

De qualquer forma, parece haver mais do que apenas atualizar o openssl.

    
por user269332 16.04.2014 / 01:22