Sólo OpenSSL 1.0.1f o posterior tiene la solución para el exploit heartbleed. Entonces, ¿Ubuntu 12.04LTS tiene la solución? Necesitamos usar 12.04LTS por razones que no explicaré y no podemos actualizar.
Según esta página, utiliza OpenSSL "1.0.1" (sin letra al final del número de versión): http://packages.ubuntu.com/precise/libssl-dev
Tiene este enlace de archivo en el lado derecho... [openssl_1.0.1.orig.tar.gz]
¿Ese archivo .orig puede decirnos algo?
¿Alguien sabe si realmente hubo una versión "1.0.1" de OpenSSL o si alguien simplemente cortó la carta?
Respuesta1
La versión real de la versión OpenSSL afectada en Ubuntu 12.04LTS es 1.0.1-4ubuntu5.11 y la versión actual es 1.0.1-4ubuntu5.21 (el número al final es importante aquí). Ha sido parcheado varias veces desde entonces y no debería verse afectado por el error Heartbleed.
Aquí hay un enlace desde el cual puede ver los números de versión afectados en diferentes distribuciones:http://heartbleed.com/
Por si acaso, aquí también hay un registro de cambios para OpenSSL en Ubuntu 12.04LTS:http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
La solución para heartbleed se menciona para 1.0.1-4ubuntu5.12, por lo que hace un par de versiones.
Respuesta2
Una forma de saber esto es echar un vistazo a los Avisos de seguridad de Ubuntu (USN) que se publican cada vez que se soluciona una vulnerabilidad en Ubuntu. En tal caso, se escribe la versión del paquete en el que está arreglado.
Por ejemplo, para Heartbleed, el USN era el USN-2165-1 (http://www.ubuntu.com/usn/usn-2165-1/) que indica que se ha solucionado en 1.0.1-4ubuntu5.12 para Ubuntu 12.04LTS.
Es posible suscribirse a dicho USN por correo electrónico, gracias a la lista de correo ubuntu-security-announce:https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
Salud,