Только OpenSSL 1.0.1f или новее имеет исправление для уязвимости heartbleed. Так есть ли в Ubuntu 12.04LTS исправление? Нам нужно использовать 12.04LTS по причинам, которые я не буду вдаваться в подробности, и мы не можем выполнить обновление.
Согласно этой странице, он использует OpenSSL "1.0.1" (без буквы в конце номера версии): http://packages.ubuntu.com/precise/libssl-dev
Эта ссылка на файл находится справа ... [openssl_1.0.1.orig.tar.gz]
Может ли этот файл .orig нам что-нибудь сказать?
Кто-нибудь знает, был ли на самом деле релиз OpenSSL "1.0.1" или кто-то просто отрубил письмо?
Фактическая версия уязвимой версии OpenSSL в Ubuntu 12.04LTS - 1.0.1-4ubuntu5.11, а текущая версия - 1.0.1-4ubuntu5.21 (здесь значение имеет номер в конце). С тех пор он был исправлен несколько раз, и на него не должно влиять Heartbleed bug.
Вот ссылка, по которой вы можете увидеть номера затронутых версий в разных дистрибутивах: http://heartbleed.com/
На всякий случай вот также список изменений для OpenSSL в Ubuntu 12.04LTS: http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
Исправление для heartbleed упоминается для 1.0.1-4ubuntu5.12, так что несколько версий назад.
Чтобы узнать это, взгляните на Уведомления о безопасности Ubuntu (USN), которые выпускаются каждый раз, когда в Ubuntu исправляется уязвимость. В таком случае пишется выпуск пакета, в котором он исправлен.
Например, для Heartbleed USN был USN-2165-1 (http://www.ubuntu.com/usn/usn-2165-1/), в котором говорится, что он был исправлен в 1.0.1-4ubuntu5.12 для Ubuntu 12.04LTS.
Благодаря списку рассылки ubuntu-security-announce можно подписаться на такой USN по электронной почте: https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
Привет,