Preciso atualizar mod_ssl para CVE-2014-0160?

Question

Preciso atualizar mod_ssl para CVE-2014-0160?

#1 resposta do NGRhodes (1 votos)
#2 resposta do user269332 (0 votos)

5

Eu atualizei o OpenSSL para a versão 1.0.1 g no meu Ubuntu 12.04.4 LTS:

user@server# dpkg -l |grep openssl
ii  openssl                              1.0.1-4ubuntu5.12                   Secure Socket Layer (SSL) binary and related cryptographic tools
ii  python-openssl                       0.12-1ubuntu2.1                     Python wrapper around the OpenSSL library

Pergunta: Eu preciso atualizar o Apache2 mod_ssl também? Se sim, como?

user@server# strings /usr/lib/apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012

Versão do Apache2

user@server# dpkg -l |grep apache2
ii  apache2                              2.4.2-2~ppa1                        Apache HTTP Server
ii  apache2-bin                          2.4.2-2~ppa1                        Apache HTTP Server (binary files and modules)
ii  apache2-data                         2.4.2-2~ppa1                        Apache HTTP Server (common files)
ii  apache2-mpm-worker                   2.4.2-2~ppa1                        transitional worker MPM package for apache2
ii  apache2-utils                        2.4.2-2~ppa1                        Apache HTTP Server (utility programs for web servers)
rc  apache2.2-common                     2.2.22-1ubuntu1.4                   Apache HTTP Server common files

apache2 mod-ssl

por sebastian 08.04.2014 / 22:01

2 respostas

Tags apache2 mod-ssl

Problemas com os módulos após a atualização para o kernel 3.2.0-60 O Avant Window Navigator está disponível para o Ubuntu 14.04?

score 1 · Answer 1

Não, o ModSSL é uma interface para o OpenSSL, portanto, não precisará de atualizações em si.

score 0 · Answer 2

Estou usando o Kali (Backtrack), que é baseado no Debian, mas ainda é semelhante ao Ubuntu.

Eu atualizei primeiro o openssl (apt-get install openssl), mas depois de parar o & amp; Ao iniciar meu servidor web apache2, a vulnerabilidade ainda estava lá (testando com ssltest.py por Jared Stafford ... prontamente disponível na web).

Encontrado instruções de que também é necessário atualizar o "libssl" da seguinte forma: apt-get install libssl1.0.0

Depois disso e reiniciando o meu servidor web, a vulnerabilidade desapareceu.

Em geral, o openssl 1.0.1g é a versão mínima corrigida / segura. Note que para distribuições Debian, a versão mínima / segura do openssl e libssl1.0.0 é 1.0.1e-2 + deb7u6. Eu não sei qual seria a versão correspondente do Ubuntu.

De qualquer forma, parece haver mais do que apenas atualizar o openssl.