OpenSSL 1.0.1f 以降にのみ、Heartbleed エクスプロイトの修正が含まれています。では、Ubuntu 12.04LTS には修正が含まれていますか? 詳しく説明しない理由で 12.04LTS を使用する必要があり、アップグレードできません。
このページによると、OpenSSL「1.0.1」(バージョン番号の末尾に文字なし) が使用されています。 http://packages.ubuntu.com/precise/libssl-dev
右側にこのファイル リンクがあります... [openssl_1.0.1.orig.tar.gz]
その .orig ファイルから何かわかるでしょうか?
OpenSSL の「1.0.1」リリースが実際にあったのか、それとも誰かがその文字を切り落としただけなのか、誰か知っていますか?
答え1
Ubuntu 12.04LTS で影響を受ける OpenSSL の実際のバージョンは 1.0.1-4ubuntu5.11 で、現在のバージョンは 1.0.1-4ubuntu5.21 です (末尾の数字が重要です)。それ以降、数回パッチが適用されており、Heartbleed バグの影響を受けることはないはずです。
さまざまなディストリビューションで影響を受けるバージョン番号を確認できるリンクは次のとおりです。http://heartbleed.com/
念のため、Ubuntu 12.04LTS の OpenSSL の変更ログもここにあります:http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
Heartbleed の修正は 1.0.1-4ubuntu5.12 で言及されているので、数バージョン前のものです。
答え2
これを知るには、Ubuntu で脆弱性が修正されるたびに公開される Ubuntu Security Notices (USN) を確認するのがよいでしょう。この場合、修正されたパッケージのリリースが記載されています。
例えば、ハートブリードの場合、USNはUSN-2165-1(http://www.ubuntu.com/usn/usn-2165-1/) には、Ubuntu 12.04LTS の 1.0.1-4ubuntu5.12 で修正されたと記載されています。
ubuntu-security-announce メーリング リストのおかげで、このような USN を電子メールで購読することが可能です。https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
乾杯、