Heartbleed: dist-обновление не зафиксировало его
Извините за мой плохой английский язык.
Я запускаю Ubuntu 12.04.2 LTS (GNU/Linux 3.2.0-60-виртуальный x86_64).
В попытке зафиксировать Heartbleed, я сначала работал apt-get update, затем apt-get dist-upgrade.
Это пошло весь OK, таким образом, я думал, что та проблема безопасности была зафиксирована.
Но openssl version -a выводы:
OpenSSL 1.0.1e 11 Feb 2013
built on: Sat Feb 1 22:14:33 UTC 2014
platform: debian-amd64
options: bn(64,64) rc4(8x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
Я уже перезагрузил сервер (я должен был заменить sysvinit с upstart после dist-обновления иначе я не мог перезагрузить).
После перезагрузки, apt-get dist-upgrade производит следующее:
The following packages will be REMOVED:
upstart
The following NEW packages will be installed:
sysvinit
The following packages have been kept back:
libnih-dbus1 libnih1
0 upgraded, 1 newly installed, 1 to remove and 2 not upgraded.
Ну, согласно тому выводу, нет ничего ssl-связанного, оставленного обновлению. Но openssl version -a продолжает производить ту же старую сборку в феврале.
Так, мой вопрос состоит в том, почему моя система все еще выполняет старую сборку openssl?
Спасибо за помощь.
2 ответа
Мне удалось устранить проблему!
По некоторым причинам, apt-get update не добирался знающий о новых пакетах защиты (хотя репозиторий безопасности Ubuntu правильно перечислен в моем sources.list).
то, Что я должен был сделать, должно было вручную загрузить следующие deb файлы, и затем установить их вручную.
Список пакетов я должен был загрузить и установить
64 бита
- openssl: http://security.ubuntu.com/ubuntu/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12_amd64.deb
- libssl1.0.0: http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.0.0_1.0.1-4ubuntu5.12_amd64.deb
- libssl-dev: http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl-dev_1.0.1-4ubuntu5.12_amd64.deb
32 бита
-
http://security.ubuntu.com/ubuntu/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12_i386.deb
-
http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl-dev_1.0.1c-3ubuntu2.7_i386.deb
-
http://security.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.0.0_1.0.1c-3ubuntu2.7_i386.deb
следующая команда установит вручную загруженный deb пакет:
sudo dpkg -i package_name.deb
После установки всех этих 3 пакетов и перезагрузки сервера, проблема теперь решена!
(Вывод http://filippo.io/Heartbleed/ .)
Я был в той же ситуации, и я нашел простое решение (для 12.04 LTS):
sudo склонный - получают openssl=1.0.1-4ubuntu5.12-libssl1.0.0=1.0.1-4ubuntu5.12-libssl-dev=1.0.1-4ubuntu5.12
установки, который Это просит, чтобы я ПОНИЗИЛ, они упаковывают, и путем ответа да, пакеты обновляются.
кажется, что openssl пакеты от более нового распределения человечности (quantal или что-то) стащены в мою установку, когда я пытался получить некоторый пакет от распределения. Начиная с безопасности repos в sources.list указаны точные, пакеты от более новых дистрибутивов не могут быть обновлены способным - получают dist-обновление.