Somente OpenSSL 1.0.1f ou posterior tem a correção para o exploit heartbleed. Então o Ubuntu 12.04LTS tem a correção? Precisamos usar 12.04LTS por motivos que não abordarei e não podemos atualizar.
De acordo com esta página, utiliza OpenSSL "1.0.1" (sem letra no final do número da versão): http://packages.ubuntu.com/precise/libssl-dev
Tem este link de arquivo no lado direito... [openssl_1.0.1.orig.tar.gz]
Esse arquivo .orig pode nos dizer alguma coisa?
Alguém sabe se houve realmente uma versão "1.0.1" do OpenSSL ou se alguém simplesmente cortou a carta?
Responder1
A versão real da versão OpenSSL afetada no Ubuntu 12.04LTS é 1.0.1-4ubuntu5.11 e a versão atual é 1.0.1-4ubuntu5.21 (o número no final é importante aqui). Ele foi corrigido algumas vezes desde então e não deve ser afetado pelo bug heartbleed.
Aqui está um link no qual você pode ver os números das versões afetadas em diferentes distribuições:http://heartbleed.com/
Por precaução, aqui também está o changelog do OpenSSL no Ubuntu 12.04LTS:http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
A correção para heartbleed é mencionada para 1.0.1-4ubuntu5.12, algumas versões anteriores.
Responder2
Uma maneira de saber isso é dar uma olhada nos Avisos de Segurança do Ubuntu (USN), que são lançados sempre que uma vulnerabilidade é corrigida no Ubuntu. Nesse caso, é escrito o release do pacote no qual está corrigido.
Por exemplo, para heartbleed, o USN era o USN-2165-1 (http://www.ubuntu.com/usn/usn-2165-1/) que afirma que foi corrigido em 1.0.1-4ubuntu5.12 para Ubuntu 12.04LTS.
É possível assinar esse USN por e-mail, graças à lista de discussão ubuntu-security-announce:https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
Saúde,