Existe-t-il des différences entre les mises à jour de sécurité OpenSSL sur Ubuntu et OpenSSL à partir du site officiel OpenSSL?
Les dernières mises à jour pour OpenSSL dans Ubuntu ont été publiées ce mois-ci.
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.2g-1ubuntu4.11/changelog
Il existe une liste complète de mises à jour de sécurité pour v1.0.2g
Bien que j'ai installé OpenSSL v1.0.2n manuellement il y a 2 mois.
Ce que je demande, est-ce que cela a de l'importance, les mises à jour Ubuntu sur la version OpenSSL sont-elles personnalisées et spécifiques à Ubuntu? La dernière version directe du site OpenSSL ne devrait-elle pas couvrir tous ces domaines? Devrais-je revenir à une version plus ancienne?
Si vous avez manuellement installé votre propre version d'OpenSSL au lieu de la version fournie par Ubuntu, vous êtes responsable de sa mise à jour, y compris de l'installation de correctifs de sécurité.
Il est généralement plus sûr d'utiliser la version fournie par Ubuntu, car vous recevrez ensuite les mises à jour de sécurité via le processus de mise à jour normal.
Les deux auront des calendriers et des processus de mise à jour différents, mais les deux viseront à appliquer les correctifs en temps utile après la découverte d'un problème de sécurité. Ubuntu va rétroporter le correctif (c'est-à-dire le réécrire afin qu'il fonctionne sur une version plus ancienne) vers la version stable d'Ubuntu, alors qu'en amont, le correctif n'est disponible qu'en mettant à jour la dernière version.
Une autre chose à prendre en compte est que beaucoup de paquets Ubuntu dépendent d'une bibliothèque OpenSSL. Vous constaterez peut-être que la version installée manuellement et la version fournie par Ubuntu est installée car elle est importée en tant que dépendance.