Только OpenSSL 1.0.1f или более поздние версии имеют исправление для эксплойта heartbleed. Так есть ли исправление в Ubuntu 12.04LTS? Нам нужно использовать 12.04LTS по причинам, в которые я не буду вдаваться, и мы не можем обновиться.
Согласно этой странице, он использует OpenSSL "1.0.1" (без буквы в конце номера версии): http://packages.ubuntu.com/precise/libssl-dev
Справа находится ссылка на файл... [openssl_1.0.1.orig.tar.gz]
Может ли этот файл .orig нам что-нибудь рассказать?
Кто-нибудь знает, существовала ли на самом деле версия OpenSSL «1.0.1» или кто-то просто отрезал букву?
решение1
Фактическая версия затронутой версии OpenSSL в Ubuntu 12.04LTS — 1.0.1-4ubuntu5.11, а текущая версия — 1.0.1-4ubuntu5.21 (здесь важен номер в конце). С тех пор она была исправлена несколько раз и не должна быть затронута ошибкой heartbleed.
Вот ссылка, по которой вы можете увидеть затронутые номера версий в различных дистрибутивах:http://heartbleed.com/
На всякий случай вот также список изменений OpenSSL в Ubuntu 12.04LTS:http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
Исправление heartbleed упоминается для 1.0.1-4ubuntu5.12, то есть на пару версий раньше.
решение2
Способ узнать это — взглянуть на уведомления о безопасности Ubuntu (USN), которые выпускаются каждый раз, когда в Ubuntu устраняется уязвимость. В таком случае записывается выпуск пакета, в котором она исправлена.
Например, для Heartbleed USN был USN-2165-1 (http://www.ubuntu.com/usn/usn-2165-1/), в котором говорится, что это было исправлено в версии 1.0.1-4ubuntu5.12 для Ubuntu 12.04LTS.
Подписаться на такие USN можно по электронной почте, воспользовавшись списком рассылки ubuntu-security-announce:https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
Ваше здоровье,