Я обновил OpenSSL к версии 1.0.1 g на моем LTS Ubuntu 12.04.4:
user@server# dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
ii python-openssl 0.12-1ubuntu2.1 Python wrapper around the OpenSSL library
Вопрос: я должен обновить Apache2 mod_ssl также? Если да, как?
user@server# strings /usr/lib/apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012
Версия Apache2
user@server# dpkg -l |grep apache2
ii apache2 2.4.2-2~ppa1 Apache HTTP Server
ii apache2-bin 2.4.2-2~ppa1 Apache HTTP Server (binary files and modules)
ii apache2-data 2.4.2-2~ppa1 Apache HTTP Server (common files)
ii apache2-mpm-worker 2.4.2-2~ppa1 transitional worker MPM package for apache2
ii apache2-utils 2.4.2-2~ppa1 Apache HTTP Server (utility programs for web servers)
rc apache2.2-common 2.2.22-1ubuntu1.4 Apache HTTP Server common files
Нет, ModSSL является интерфейсом к OpenSSL, таким образом, этому не будет нужен никакой, обновляет себя.
Я использую Kali (Отслеживание в обратном порядке), которое основано на Debian, но все еще подобный человечности.
я сначала обновил openssl (склонный - получают установку openssl), но после остановки & запуская мой apache2 веб-сервер, уязвимость была все еще там (тестирующий с ssltest.py Jared Stafford.... легко доступным в сети).
Найденные инструкции, что также необходимо обновить "libssl" следующим образом: склонный - получают libssl1.0.0
установки После того, как, чем, и перезапуск моего веб-сервера, уязвимости не стало.
В целом, openssl 1.0.1 г минимальная исправленная/безопасная версия. Обратите внимание, что для дистрибутивов Debian, минимальной исправленной/безопасной версии и openssl и libssl1.0.0 1.0.1e-2+deb7u6. Я не знаю, какова соответствующая версия Ubuntu была бы.
В любом случае, кажется, существует больше к нему, чем просто обновление openssl.