只有 OpenSSL 1.0.1f 或更高版本具有針對 heartbleed 漏洞的修復。那麼 Ubuntu 12.04LTS 有修復嗎?我們需要使用 12.04LTS,原因我不會詳述,而且我們無法升級。
根據此頁面,它使用 OpenSSL“1.0.1”(版本號末尾沒有字母): http://packages.ubuntu.com/precise/libssl-dev
它的右側有此檔案連結... [openssl_1.0.1.orig.tar.gz]
.orig 檔案能告訴我們什麼嗎?
有沒有人知道 OpenSSL 是否真的有「1.0.1」版本,或者是否有人剛剛砍掉了這封信?
答案1
Ubuntu 12.04LTS 中受影響的 OpenSSL 版本的實際版本是 1.0.1-4ubuntu5.11,目前版本是 1.0.1-4ubuntu5.21(此處末尾的數字很重要)。此後它已經被修補了幾次,應該不會受到heartbleed bug 的影響。
您可以透過以下連結查看不同發行版中受影響的版本號:http://heartbleed.com/
以防萬一,這裡還有 Ubuntu 12.04LTS 中 OpenSSL 的變更日誌:http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
1.0.1-4ubuntu5.12 中提到了對 heartbleed 的修復,所以幾個版本都回來了。
答案2
了解這一點的一種方法是查看 Ubuntu 安全聲明 (USN),每次修復 Ubuntu 中的漏洞時都會發布該聲明。在這種情況下,將寫入修復該問題的套件的版本。
例如,對於 heartbleed,USN 是 USN-2165-1(http://www.ubuntu.com/usn/usn-2165-1/)其中指出它已在 Ubuntu 12.04LTS 的 1.0.1-4ubuntu5.12 中修復。
使用 ubuntu-security-announce 郵件列表,可以透過電子郵件訂閱此類 USN:https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
乾杯,