Atualize o OpenSSL 0.9.8k para o OpenSSL 1.0.1c no Ubuntu 10.04

5

No momento, estamos usando o Ubuntu 10.04 e, com base nos resultados do PCI Compliance, recebemos instruções para atualizar o OpenSSL.

Eu tentei fazer isso usando esta referência e isso .

Infelizmente, eles não funcionaram para mim. E quando tentei remover a versão antiga antes da instalação, parece que ela quebrou alguns pontos no sistema.

O artigo de Steve Gordon parecia que funcionaria para mim, mas quando eu executei o comando openssl version, ele ainda leu que era a versão antiga.

Eu queria saber se alguém tem alguma sugestão sobre o que devo fazer.

Correção: Após seguir os passos de Steven Gordon, certifique-se de reiniciar o apache e / ou reiniciar seu computador (eu fiz os dois, mas tenho certeza que um simples reinício irá consertá-lo).

    
por Nina 31.08.2012 / 17:54

2 respostas

2

atualizar o openssl vai piorar as coisas, não melhor. Você precisa obter uma lista de CVEs referentes a quem está fazendo sua certificação PCI. Então você pode, para cada um desses CVEs, mostrar a eles que o Ubuntu está suportando correções para endereçar esses CVEs.

Aqui está o rastreador de segurança do Ubuntu . Você deve ser capaz de colocar um CVE neste site e descobrir que o Ubuntu resolveu o problema, e quando.

Por exemplo, o CVE openssl mais recente está documentado aqui e links para Aviso do Ubuntu sobre esta vulnerabilidade ser corrigida .

A empresa que faz sua certificação PCI DEVE aceitar esse tipo de documentação.

    
por 31.08.2012 / 21:52
1

Se você precisar atualizar o OpenSSL, suas opções são atualizar todo o sistema operacional para que a nova versão do OpenSSL seja implementada por meio dos pacotes suportados do sistema operacional ou se aventurar pelo caminho sinuoso e muitas vezes problemático da instalação a partir da origem ou usando um repositório de pacotes de terceiros.

Você pode não precisar atualizar nada, no entanto. Tenha em mente que correções de segurança de versões mais recentes são portadas para pacotes mais antigos. As verificações de segurança geralmente têm falsos positivos, devido à confiança em uma simples verificação do número de versão; o registro de alterações do pacote mostra que ele está recebendo segurança regularmente atualizações. Verifique se você está realmente vulnerável aos resultados antes de gastar muito tempo e esforço na atualização.

    
por 31.08.2012 / 18:21