OpenSSL 1.0.1f 이상에만 하트블리드 익스플로잇에 대한 수정 사항이 있습니다. Ubuntu 12.04LTS에 수정 사항이 있습니까? 여기서는 다루지 않겠지만 업그레이드할 수 없는 이유로 12.04LTS를 사용해야 합니다.
이 페이지에 따르면 OpenSSL "1.0.1"(버전 번호 끝에 문자가 없음)을 사용합니다. http://packages.ubuntu.com/precise/libssl-dev
오른쪽에 이 파일 링크가 있습니다... [openssl_1.0.1.orig.tar.gz]
해당 .orig 파일이 우리에게 무엇을 말해 줄 수 있습니까?
OpenSSL의 "1.0.1" 릴리스가 실제로 있었는지 아니면 누군가가 문자를 잘랐는지 아는 사람이 있습니까?
답변1
Ubuntu 12.04LTS에서 영향을 받는 OpenSSL 버전의 실제 버전은 1.0.1-4ubuntu5.11이고 현재 버전은 1.0.1-4ubuntu5.21입니다(여기서 마지막 숫자가 중요합니다). 이후 몇 차례 패치되었으며 하트블리드 버그의 영향을 받아서는 안 됩니다.
다음은 다양한 배포판에서 영향을 받는 버전 번호를 볼 수 있는 링크입니다.http://heartbleed.com/
Ubuntu 12.04LTS의 OpenSSL에 대한 변경 로그도 여기에 있습니다.http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
heartbleed에 대한 수정 사항은 1.0.1-4ubuntu5.12에 대해 언급되었으므로 몇 가지 버전이 다시 돌아왔습니다.
답변2
이를 알 수 있는 방법은 Ubuntu에서 취약점이 수정될 때마다 발표되는 Ubuntu 보안 공지(USN)를 살펴보는 것입니다. 그러한 경우에는 수정된 패키지의 릴리스가 기록됩니다.
예를 들어 하트블리드의 경우 USN은 USN-2165-1(http://www.ubuntu.com/usn/usn-2165-1/) Ubuntu 12.04LTS의 경우 1.0.1-4ubuntu5.12에서 수정되었음을 나타냅니다.
ubuntu-security-announce 메일링 리스트 덕분에 이메일을 통해 이러한 USN을 구독하는 것이 가능합니다:https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
건배,