Heartbleed: dist-upgrade n'a pas résolu le problème
Désolé pour mon mauvais anglais.
J'utilise Ubuntu 12.04.2 LTS (GNU/Linux 3.2.0-60-virtual x86_64).
Pour tenter de corriger Heartbleed, j'ai d'abord exécuté apt-get update, puis apt-get dist-upgrade.
Tout s'est bien passé, alors j'ai pensé que ce problème de sécurité était résolu.
Mais openssl version -a génère:
OpenSSL 1.0.1e 11 Feb 2013
built on: Sat Feb 1 22:14:33 UTC 2014
platform: debian-AMD64
options: bn(64,64) rc4(8x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
J'ai déjà redémarré le serveur (je devais remplacer sysvinit par upstart après la mise à niveau, sinon je ne pourrais pas redémarrer).
Après le redémarrage, apt-get dist-upgrade génère les éléments suivants:
The following packages will be REMOVED:
upstart
The following NEW packages will be installed:
sysvinit
The following packages have been kept back:
libnih-dbus1 libnih1
0 upgraded, 1 newly installed, 1 to remove and 2 not upgraded.
Eh bien, selon cette sortie, il n’ya rien qui reste à améliorer en ce qui concerne le ssl. Mais openssl version -a continue à sortir le même vieux build de février.
Donc, ma question est la suivante: pourquoi mon système utilise-t-il toujours l'ancienne version d'OpenSL?
Merci de votre aide.
J'ai réussi à résoudre le problème!
Pour une raison quelconque, apt-get update n'était pas informé des nouveaux packages de sécurité (bien que le référentiel de sécurité Ubuntu soit correctement répertorié dans mon sources.list).
Ce que je devais faire était de télécharger manuellement les fichiers deb suivants, puis de les installer manuellement.
Liste des paquets que j'ai dû télécharger et installer
64 bits
- openssl: http://security.ubuntu.com/ubuntu/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12_AMD64.deb
- libssl1.0.0: http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.0.0_1.0.1-4ubuntu5.12_AMD64.deb
- libssl-dev: http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl-dev_1.0.1-4ubuntu5.12_AMD64.deb
32 bits
http://security.ubuntu.com/ubuntu/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12_i386.deb
http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl-dev_1.0.1c-3ubuntu2.7_i386.deb
http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.0.0_1.0.1c-3ubuntu2.7_i386.deb
La commande suivante installera un paquet deb téléchargé manuellement:
Sudo dpkg -i package_name.deb
Après avoir installé tous les 3 packages et redémarré le serveur, le problème est maintenant résolu!
(Résultat de http://filippo.io/Heartbleed/ .)
J'étais dans la même situation et j'ai trouvé une solution plus simple (pour 12.04 LTS):
Sudo apt-get install openssl = 1.0.1-4ubuntu5.12 libssl1.0.0 = 1.0.1-4ubuntu5.12 libssl-dev = 1.0.1-4ubuntu5.12
Cela me demande de mettre à niveau ces paquets, et en répondant oui, les paquets sont mis à jour.
Il semble que les paquets openssl d'une nouvelle distribution ubuntu (quantal ou autre) soient insérés dans mon installation lorsque j'ai essayé d'obtenir un paquet de la distribution. Puisque les dépôts de sécurité dans sources.list sont indiqués avec précision, les paquets des distributions plus récentes ne peuvent pas être mis à jour par apt-get dist-upgrade.