Я запускаю сервер Ubuntu 12.04, и я только что обновил сервер (и затем перезагрузился)
sudo apt-get dist-upgrade
Теперь, как говорится, открытая версия SSL создана 7 апреля 2014 года, что хорошо, но версия, похоже, 1.0.1e, что уязвимо. Итак, что правильно, дата или информация о версии?
Ubuntu вернула исправление в 1.0.1e, а не переключилась на новую версию. Видеть zless /usr/share/doc/openssl/changelog.Debian.gz для подробностей.
Однако вам также необходимо перезапустить затронутые службы (которые загружали старую версию при запуске), иначе они останутся уязвимыми.
Обновление OPENSSL ___FAR___ недостаточно.
Я рекомендую вас по крайней мере, но я не исчерпывающий:
Более подробные ответы можно найти здесь: Heartbleed: Что это такое и какие есть варианты его смягчения? Чтобы проверить, не уязвима ли ваша версия OPENSSL в любом из дистрибутивов на основе Debian, вы можете сделать следующее:
apt-get update && apt-get install openssl
Если вы получите
openssl is already the newest version.На сегодняшний день вот ожидаемый результат:
# openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Thu Apr 17 20:54:07 UTC 2014
$ sudo apt-get changelog openssl | grep CVE-2014-0160
- debian/patches/CVE-2014-0160.patch: use correct lengths in
- CVE-2014-0160
Это покажет вам, есть ли у вас исправленная версия.