web-dev-qa-db-fra.com

Patch OpenSSL CVE-2014-0160 sur Ubuntu 12.04?

NON, ceci n'est pas une copie de Comment patcher le bogue Heartbleed (CVE-2014-0160) dans OpenSSL? . Alors, lisez la suite.

Je vois des informations contradictoires concernant Ubuntu 12.04:

  1. La page Heartbleed déclare que Ubuntu 12.04 est affecté et doit être corrigée avec 1.0.1g
  2. L'avis de sécurité Ubuntu USN-2165-1 affirme que la version 1.0.1-4ubuntu5.12 du paquetage libssl1.0.0 devrait résoudre le problème sur Ubuntu 12.04.

Maintenant, j'ai ces paquets installés:

# dpkg -l | grep ssl
ii  libssl1.0.0                      1.0.1-4ubuntu5.10                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.10                 Secure Socket Layer (SSL) binary and related cryptographic tools

# lsb_release  -a | grep -i description
Description:    Ubuntu 12.04.3 LTS

Donc, si je considère les deux points ci-dessus, je ne suis pas sûr de savoir lequel est vrai.

En outre, cette page de test Heartbleed indique que ma machine est vulnérable.

Quelqu'un at-il déjà réussi à résoudre ce problème avec Ubuntu 12.04? Si oui, pourriez-vous me fournir les mesures que vous avez prises?

10
slayedbylucifer

Pourquoi ne mettez-vous pas à jour? Si Ubuntu dit que vous avez besoin de la version 5.12 et que ce site ne dit pas que vous êtes vulnérable, quel est le problème?

J'ai le suivant installé, qui a été mis à jour hier ou aujourd'hui sur ma machine.

ii  openssl                                  1.0.1-4ubuntu5.12
8
SPRBRN

Ubuntu a publié un correctif, il vous suffit de mettre à jour et de mettre à niveau.

Sudo apt-get update
Sudo apt-get upgrade

Pour vérifier si vous avez la dernière version corrigée, exécutez:

openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-AMD64

Cochez la case "construit sur:", il devrait être construit le 7 avril.

20
Thomas K