Mise à niveau de openssl sur Ubuntu 10.04.4 LTS - Heartbleed
J'ai un serveur qui utilise Ubuntu 10.04.4 LTS. J'ai lu que cette version du système d'exploitation n'est pas affectée car elle est fournie avec une version plus ancienne d'OpenSL, 0.9.8 ou similaire. Mais mon serveur affiche la suite de l'exécution de openssl version -a, ce qui signifie que son openssl a été mis à jour.
OpenSSL 1.0.1 14 Mar 2012
built on: Tue Mar 27 14:41:54 EDT 2012
platform: linux-x86_64
Lorsque je consulte notre site Web hébergé sur ce serveur via filippo.io/Heartbleed, il est indiqué que le site n'a pas été affecté.
J'ai toujours essayé de mettre à jour mon serveur via Sudo apt-get update et Sudo apt-get upgrade mais la version de openssl reste toujours la même.
J'ai deux questions
- Dois-je mettre à jour mon openssl?
- Comment puis-je le faire sur Ubuntu 10.04.4?
Dois-je mettre à jour mon openssl?
Non.
Avis de sécurité Ubuntu USN-2165-1
7 avril 2014 OpenSL vulnérabilités
Un problème de sécurité affecte ces versions d'Ubuntu et de ses dérivés:
Ubuntu 13.10 Ubuntu 12.10 Ubuntu 12.04 LTS
Il n'est pas fait mention de 10.04, il n'est donc pas affecté. Ces types de messages répertorient toujours tous les systèmes pris en charge et affectés (donc 13.04 ne sont pas répertoriés depuis la fin de leur vie).
Au fait: le bug a été introduit avec 12.04.
Comment puis-je le faire sur Ubuntu 10.04.4?
Vous n'avez pas.
Des informations supplémentaires peuvent être trouvées dans les avis officiels de Canonical CVE-2014-016 et CVE-2014-0076 . Ici, TOUS les systèmes supportés seront listés:
Upstream: released (1.0.1g)
Ubuntu 10.04 LTS (Lucid Lynx): not-affected (code not present)
Ubuntu 12.04 LTS (Precise Pangolin): released (1.0.1-4ubuntu5.12)
Ubuntu 12.10 (Quantal Quetzal): released (1.0.1c-3ubuntu2.7)
Ubuntu 13.10 (Saucy Salamander): released (1.0.1e-3ubuntu1.2)
Ubuntu 14.04 LTS (Trusty Tahr): released (1.0.1f-1ubuntu2)
Comme vous pouvez le constater, le bogue a été introduit dans 12.04 et n'était pas présent dans 10.04.