Я должен обновить mod_ssl для CVE-2014-0160?

Question 1

Я обновил OpenSSL к версии 1.0.1 g на моем LTS Ubuntu 12.04.4:

user@server# dpkg -l |grep openssl
ii  openssl                              1.0.1-4ubuntu5.12                   Secure Socket Layer (SSL) binary and related cryptographic tools
ii  python-openssl                       0.12-1ubuntu2.1                     Python wrapper around the OpenSSL library

Вопрос: я должен обновить Apache2 mod_ssl также? Если да, как?

user@server# strings /usr/lib/apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012

Версия Apache2

user@server# dpkg -l |grep apache2
ii  apache2                              2.4.2-2~ppa1                        Apache HTTP Server
ii  apache2-bin                          2.4.2-2~ppa1                        Apache HTTP Server (binary files and modules)
ii  apache2-data                         2.4.2-2~ppa1                        Apache HTTP Server (common files)
ii  apache2-mpm-worker                   2.4.2-2~ppa1                        transitional worker MPM package for apache2
ii  apache2-utils                        2.4.2-2~ppa1                        Apache HTTP Server (utility programs for web servers)
rc  apache2.2-common                     2.2.22-1ubuntu1.4                   Apache HTTP Server common files

Question 2

Нет, ModSSL является интерфейсом к OpenSSL, таким образом, этому не будет нужен никакой, обновляет себя.

Question 3

Question 4

Я использую Kali (Отслеживание в обратном порядке), которое основано на Debian, но все еще подобный человечности.

я сначала обновил openssl (склонный - получают установку openssl), но после остановки & запуская мой apache2 веб-сервер, уязвимость была все еще там (тестирующий с ssltest.py Jared Stafford.... легко доступным в сети).

Найденные инструкции, что также необходимо обновить "libssl" следующим образом: склонный - получают libssl1.0.0

установки После того, как, чем, и перезапуск моего веб-сервера, уязвимости не стало.

В целом, openssl 1.0.1 г минимальная исправленная/безопасная версия. Обратите внимание, что для дистрибутивов Debian, минимальной исправленной/безопасной версии и openssl и libssl1.0.0 1.0.1e-2+deb7u6. Я не знаю, какова соответствующая версия Ubuntu была бы.

В любом случае, кажется, существует больше к нему, чем просто обновление openssl.

NGRhodes · Answer 1 · 17 November 2019 в 12:14

Нет, ModSSL является интерфейсом к OpenSSL, таким образом, этому не будет нужен никакой, обновляет себя.

1

ответ дан NGRhodes 17 November 2019 в 12:14

user269332 · Answer 2 · 17 November 2019 в 12:14