Я проверил сайт с этим инструмент и в результате был получен результат: «Этот сервер уязвим для уязвимости OpenSSL CCS (CVE-2014-0224) и может быть использован».
Я поискал и обнаружил, что для того, чтобы не быть уязвимым, версия должна быть выше, чем этот вывод:
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Jun 2 19:37:18 UTC 2014
Моя текущая версия
OpenSSL 1.0.1c 10 May 2012
built on: Fri May 2 20:25:02 UTC 2014
Я попробовал несколько способов обновить свой openssl, например этот и этот но я все равно получаю ту же версию. Например, когда я выполняю sudo apt-get dist-upgrade Я получаю это сообщение:
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
При первом запуске этой команды пакеты были установлены, и я перезагрузил компьютер с помощью sudo reboot.
Любая подсказка, как я могу обновить свой openSSL, чтобы избежать этой уязвимости? Что еще мне может не хватать?
Хорошо, как было предложено в комментариях к вопросу, ваша проблема в том, что вы используете Ubuntu 12.10, которая перестала поддерживаться ранее в этом году, примерно за месяц до публикации проблемы OpenSSL CCS. Следовательно, хороших версий OpenSSL для Ubuntu 12.10 нет и не будет.
Получение пакетов openssl / libssl из более новой Ubuntu может быть нетривиальным, учитывая, что другие установленные вами пакеты могут зависеть от конкретной версии openssl. Напомню, что libssl был довольно критичным к версии при компиляции.
Хотя есть вещи, которые вы могли бы сделать, например, самостоятельно выполнить резервное копирование исправления (нетривиально), вам действительно нужно перейти на поддерживаемую версию Ubuntu, учитывая все другие потенциальные проблемы с безопасностью в других пакетах. Тем более, что у вас, похоже, работает веб-сервер, который обычно имеет довольно большую поверхность для атак.
Для сервера вы обычно хотите использовать LTS-версию Ubuntu. Особенно в наши дни, когда новые версии, отличные от LTS, поддерживаются только девять месяцев, а версии LTS получают поддержку пять лет. Текущие версии LTS - это Ubuntu 12.04 и Ubuntu 14.04.
Библиотека openssl может быть актуальной, но уже запущенное программное обеспечение может использовать старую версию.
После каждого обновления общей библиотеки все программы, использующие ее, должны быть перезапущены для использования новой версии.
Посылка debian-goodies содержит скрипт: checkrestart который перечислит программное обеспечение, работающее со старыми версиями обновленных библиотек, и предложит перезапустить затронутые демоны.