web-dev-qa-db-fra.com

Ubuntu 14.04 publiera-t-il des mises à jour de sécurité pour openssl 1.0.1 même après le 31 décembre 2016 ou seront-elles déplacées vers openssl 1.0.2?

La version 1.0.1 ne reçoit actuellement que des correctifs de bogues de sécurité et cette assistance ne sera plus disponible pour cette version à compter du 31 décembre 2016. < Lien > comme indiqué sur leur site Web.

OpenSSL est installé à partir du référentiel principal d'Ubuntu pendant l'installation.

Comme Ubuntu 14.04 a un support à long terme. Donc, devrais-je m'attendre à une version mise à jour d'OpenSSL ou devrions-nous la mettre à jour par nous-mêmes?.

5
NEHAL AMIN

La réponse à votre question semble être que les mises à jour de sécurité seront publiées (rétroportées) selon les besoins via durée de la prise en charge de Trusty LTS . Il n’est actuellement pas prévu de publier openssl 1.0.2 pour Trusty. Selon les messages ici , seuls les correctifs de sécurité seront publiés pour la version 1.01 après le 2016-12-31. Il semble que la dernière source disponible est 1.0.1e disponible ici

Pourquoi?

Marc Deslauriers (ingénieur en sécurité Ubuntu) a déclaré: "Ubuntu ne met généralement pas à jour ses versions de logiciel. Comme la plupart des autres distributions Linux, nous rapportons des correctifs de sécurité sur les versions des logiciels que nous livrons, qu’il soit ou non toujours pris en charge. "

Donc, l'engagement à la sécurité est là.

Si vous sentez le besoin de mettre à niveau indépendamment de ce que vous pouvez obtenir la source sur cette page et le compiler vous-même. Les instructions d'installation sont incluses dans l'archive, mais c'est assez simple, même si vous n'avez jamais compilé de code auparavant.

Notez que je ne recommande pas cela comme une ligne de conduite, j'essaie simplement d'être complet en couvrant les possibilités.

  $ ./config
  $ make
  $ make test
  $ make install

Sources:

https://www.openssl.org/source/

Instructions d'installation incluses dans https://www.openssl.org/source/openssl-1.0.2j.tar.gz

Comme alternative, vous pouvez mettre à niveau vers xenial (16.04) qui a la version 1.0.2g déjà disponible ou comme le dit Seth Arnold (membre de l'équipe de sécurité Ubuntu) ici

"Le package openssl de 16.04 LTS est basé sur un point de départ 1.0.2g. Si exécuter 16.04 LTS n’est pas une option, alors peut-être que la commande backportpackage du package buntu-dev-tools pourrait vous aider. "

4
Elder Geek

Cette page de recherche Ubunt ne donne aucune indication selon laquelle Canonical propose une version plus récente d’openssl pour 14.04 LTS. Compte tenu de la perte imminente de tout support pour openssl 1.0.1, on peut espérer qu'une personne ayant les privilèges d'un paquet transfère la version 1.0.2 à partir de 16.04, mais cela ne s'est apparemment pas encore produit (à la date du 22 décembre 2016).

0
Zeiss Ikon