Estou executando o Debian Wheezy. Acabei de atualizar meu sistema e deveria ter a versão mais recente do openssl (1.0.1g que corrige um erro crítico ) , mas não parece estar sendo usado.
Eu corri:
apt-get update
apt-get upgrade
dpkg -s openssl mostra: Version: 1.0.1e-2+deb7u5
versão openssl mostra: OpenSSL 1.0.1e 11 Feb 2013
Eu reiniciei meu sistema desde a atualização. O que eu preciso fazer para obter o openssl usando a versão atualizada?
Para o rastreador de bugs do Debian, o problema Heartbleed foi atualizado na versão 1.0.1e-2+deb7u5 :
Marked as fixed in versions 1.0.1e-2+deb7u5. Request was from Salvatore Bonaccorso to [email protected]. (Mon, 07 Apr 2014 21:45:14 GMT) Full text and rfc822 format available.
Assim, você está executando a versão atualizada e não está mais vulnerável.
Fonte: link
Esta é uma prática comum: o Debian aplicou a correção de segurança à versão que já estava na distribuição.
A versão upstream é 1.0.1e , que é o que está sendo mostrado. Qual é o problema? Observe o 2+deb7u5 após o traço ser específico do Debian.