Nur OpenSSL 1.0.1f oder höher enthält den Fix für den Heartbleed-Exploit. Verfügt Ubuntu 12.04LTS also über den Fix? Wir müssen 12.04LTS aus Gründen verwenden, auf die ich hier nicht näher eingehen werde, und wir können kein Upgrade durchführen.
Laut dieser Seite wird OpenSSL „1.0.1“ verwendet (ohne Buchstaben am Ende der Versionsnummer): http://packages.ubuntu.com/precise/libssl-dev
Auf der rechten Seite befindet sich dieser Dateilink ... [openssl_1.0.1.orig.tar.gz]
Kann uns diese ORIG-Datei etwas sagen?
Weiß jemand, ob es tatsächlich eine „1.0.1“-Version von OpenSSL gab oder ob jemand einfach den Buchstaben abgeschnitten hat?
Antwort1
Die aktuelle Version der betroffenen OpenSSL-Version in Ubuntu 12.04LTS ist 1.0.1-4ubuntu5.11 und die aktuelle Version ist 1.0.1-4ubuntu5.21 (die Zahl am Ende ist hier wichtig). Sie wurde seitdem einige Male gepatcht und sollte nicht vom Heartbleed-Bug betroffen sein.
Unter diesem Link können Sie die betroffenen Versionsnummern in verschiedenen Distributionen sehen:http://heartbleed.com/
Nur für den Fall, hier auch das Änderungsprotokoll für OpenSSL in Ubuntu 12.04LTS:http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
Der Fix für Heartbleed wird für 1.0.1-4ubuntu5.12 erwähnt, also ein paar Versionen zurück.
Antwort2
Um dies herauszufinden, können Sie einen Blick auf die Ubuntu Security Notices (USN) werfen, die jedes Mal veröffentlicht werden, wenn eine Sicherheitslücke in Ubuntu behoben wird. In einem solchen Fall wird die Version des Pakets geschrieben, in dem die Sicherheitslücke behoben wurde.
Für Heartbleed war die USN beispielsweise die USN-2165-1 (http://www.ubuntu.com/usn/usn-2165-1/), in dem angegeben wird, dass es in 1.0.1-4ubuntu5.12 für Ubuntu 12.04LTS behoben wurde.
Dank der Mailingliste Ubuntu-Security-Announce können Sie sich per E-Mail für solche USN anmelden:https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
Prost,