Как исправить уязвимость [CVE-2014-0224] в OpenSSL?
Я получил предупреждение от органа, который сгенерировал мой сертификат, в котором говорится, что в OpenSSL есть ошибка и она влияет на версии 1.0.1.
Насколько я понимаю, мне нужно перейти на 1.0.1h , чтобы исправить эту ошибку.
Я впервые сталкиваюсь с подобными вещами и беспокоюсь о том, как это повлияет на мой сервер.
Нужно ли перезапускать какие-либо службы? А что именно? Я должен убедиться, что это не займет слишком много времени.
3 ответа
Данный ответ не отвечает на вопрос, и до последнего пакета для x86_64 14.04 последняя openssl информация о пакете (если у других есть dif, сообщенный мне):
openssl:
Installed: 1.0.1f-1ubuntu2.3
Candidate: 1.0.1f-1ubuntu2.3
Version table:
*** 1.0.1f-1ubuntu2.3 0
500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-updates/main amd64 Packages
500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-security/main amd64 Packages
500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1f-1ubuntu2 0
500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty/main amd64 Packages
500 http://us.archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages
я бездельничал с установкой/обновлением этого к версии 1.0.1 h от ЗДЕСЬ без удачи все же, когда я сделаю некоторый прогресс, я перепроверю в.
ОБНОВЛЕНИЕ *****: Таким образом, я нашел решение на другом потоке, который просто должен был быть обновлен (исходное упомянутое ниже сообщение): **
Ниже единственной командной строки к компиляции и установке последняя openssl версия.
curl https://www.openssl.org/source/openssl-1.0.1h.tar.gz | tar xz && cd openssl-1.0.1h && sudo ./config && sudo make && sudo make install
Замена старый openssl двоичный файл новым через символьную ссылку. Перейдите к/usr/bin в терминальной и команде выполнения ниже
sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`
Перезагрузка, и Вы хороши для движения. Можно хотеть/нуждаться создать новые сертификаты. Вот исходный поток/сообщение, который я обновил. ИСТОЧНИК
Мой вывод после выполнения команд и перезагрузки:
OpenSSL 1.0.1h 5 Jun 2014
built on: Sat Jun 14 22:43:13 EDT 2014
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
-
Удостоверяются, что у Вас есть в настоящее время поддерживаемая версия: с 10.04 серверами, 12.04, 14.04 или 13.10.
~$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 12.04.4 LTS Release: 12.04 Codename: precise -
Удостоверяются, что Вы устанавливаете последние обновления.
sudo apt-get update && sudo apt-get upgrade -
Проверяют.
apt-cache policy opensslдолжен показать установленной версией1.0.1-4ubuntu5.14.apt-cache policy openssl openssl: Installed: 1.0.1-4ubuntu5.14 Candidate: 1.0.1-4ubuntu5.14 Version table: *** 1.0.1-4ubuntu5.14 0 500 http://archive.ubuntu.com/ubuntu/ precise/main i386 Packages 500 http://archive.ubuntu.com/ubuntu/ precise-security/main i386 Packages 500 http://archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages 100 /var/lib/dpkg/status -
Перезапуск любые сервисы или систему только, чтобы быть уверенным.
Уязвимость влияет на клиенты OpenSSL. Клиентское использование версии OpenSSL ниже 1.0.1 соединений с выполнением серверов версии OpenSSL 1.0.1 и выше уязвимы и должны быть обновлены.
команда OpenSSL выпустила новые версии .
, единственный способ зафиксировать ее состоит в том, чтобы установить, обновил пакеты OpenSSL, и перезапуск влиял на сервисы. В это время это не вызывает сертификат или информационную утечку с закрытым ключом.
Для получения дополнительной информации см. здесь