Minha versão 0.9.8 do OpenSSL é afetada por heartbleed?

4

Estou lendo o livro de receitas do OpenSSL, e aqui o que eu vejo lá     

openssl version
OpenSSL 1.0.1 14 Mar 2012

E esta é a versão do meu servidor Ubuntu 14.04     

openssl version
OpenSSL 0.9.8w 23 Apr 2012

Março não é mais cedo que abril?

Aqui está o que eu encontrei no site do sangramento do coração:

What versions of the OpenSSL are affected?

Status of different versions:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

    
por Edik Mkoyan 25.01.2016 / 13:36

2 respostas

8

De link

CVE-2014-0160 (OpenSSL advisory) 7th April 2014: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server (a.k.a. Heartbleed). This issue did not affect versions of OpenSSL prior to 1.0.1. Reported by Neel Mehta. Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

Eu acredito que isso é bastante autoexplicativo.

    
por 25.01.2016 / 14:02
3

Parece que sua versão de 0.9.8 foi corrigida após o primeiro lançamento de 1.0.1, mas na verdade data de 5 de julho de 2005. As versões principais seriam desenvolvidas ainda, mas sua versão foi presumivelmente corrigida por vulnerabilidades de segurança encontradas .

Para maior clareza:

0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012

Sua versão é bastante antiga e pode estar aberta para Heartbleed, revisar e atualizar conforme necessário (0,85 mais recente)

    
por 25.01.2016 / 13:44

Tags