https://www.openssl.org/news/secadv/20140605.txt
Мне нужны исправления для проблем в этом совете по безопасности, для запуска кошельков криптовалют. 114]
(см. https://www.cryptocoinsnews.com/bitcoin-core-0-9-2-released-fixes-yet-another-openssl-vulnerability/ для получения дополнительной информации)
Но вот что я получаю, когда проверяю установленную мной версию OpenSSL:
$ openssl version
OpenSSL 1.0.1f 6 Jan 2014
Видимо исправления бэкпортируются? Но дата, которую показывает библиотека, беспокоит меня. Как я могу быть уверен, что эти исправления были перенесены в установленную мной версию OpenSSL?
Самый легкий способ найти, устраняются ли проблемы, состоит в том, чтобы искать отдельные числа CVE (которые находятся в уведомлении там, которое вышло) в Службе безопасности Средство отслеживания CVE. Это указывает, были ли определенные CVEs зафиксированы в Ubuntu или нет, или влияет ли CVE даже на Ubuntu.
Относительно уведомления Вы связались, все CVEs, на которые ссылаются в нем, уже фиксируются в OpenSSL pacakges Ubuntu.
Обязательный дамп ссылки Службы безопасности Ubuntu данные средства отслеживания CVE для некоторых CVEs в уведомлении OpenSSL:
- CVE-2014-0224 (из того уведомления): Зафиксируйте Выпущенный (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0224.html)
- CVE-2014-0221 (из уведомления): Зафиксируйте Выпущенный (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0221.html)
- CVE-2014-0195 (из уведомления): Зафиксируйте Выпущенный (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0195.html)
- CVE-2014-0198 (из уведомления): Зафиксируйте Выпущенный (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0198.html)
- CVE-2010-5298 (из уведомления): Зафиксируйте Выпущенный (https://people.canonical.com/~ubuntu-security/cve/2010/CVE-2010-5298.html)
- CVE-2014-3470 (из уведомления): Зафиксируйте Выпущенный (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-3470.html)
- CVE-2014-0076 (из уведомления): Зафиксируйте Выпущенный (https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0076.html)
Примечание о Числах Пересмотра Пакета OpenSSL и openssl version
вывод
Пакеты для OpenSSL в Ubuntu являются, по большей части, версией, заблокированной к определенной версии OpenSSL в каждом релизе Ubuntu. То есть для Надежного человека, базовая версия OpenSSL является OpenSSL 1.0.1f с января 2014. Это - только версии оперативной библиотеки, это не принимает во внимание, что патчи относились к нему и т.д.
Способ определить, был ли пакет обновлен с патчами, и т.д. через число пересмотра пакета Debian и соответствующие записи журнала изменений. Версия пакета OpenSSL и соответствующих библиотек в Надежном человеке Ubuntu в настоящее время с этого сообщения:
openssl | 1.0.1f-1ubuntu2 | trusty | source, amd64, arm64, armhf, i386, powerpc, ppc64el
openssl | 1.0.1f-1ubuntu2.21 | trusty-security | source, amd64, arm64, armhf, i386, powerpc, ppc64el
openssl | 1.0.1f-1ubuntu2.21 | trusty-updates | source, amd64, arm64, armhf, i386, powerpc, ppc64el
Смотря на второй столбец, мы видим, что последняя версия, доступная для OpenSSL, 1.0.1f-1ubuntu2.21
, что означает, что это имело несколько изменений начиная с начального Испытанного выпуска (который имел 1.0.1f-1ubuntu2
).
Правила сборки пакета для пакета OpenSSL не используют строку Debian в данных версии. Это использует только строку исходной версии OpenSSL, 1.0.1f
. Это то, почему openssl version
вводит в заблуждение, и для предварительно упакованных версий OpenSSL, Вы полагаетесь на журналы изменений для пакета, средства отслеживания безопасности Ubuntu и строки версии на пакете, а не version
команда в серийном программном обеспечении (для OpenSSL, по крайней мере).