Как исправить уязвимость [CVE-2014-0224] в OpenSSL?
Я получил предупреждение от органа, сгенерировавшего мой сертификат, он говорит, что в OpenSSL есть ошибка, и оно было обнаружено, затрагивая версии 1.0.1.
Как я понимаю, мне нужно обновить до 1.0.1h, чтобы исправить эту ошибку.
Это первый раз, когда я занимаюсь этими вещами, и я беспокоюсь о том, как это повлияет на мой сервер.
У меня есть перезапустить любые службы? И что именно? Я должен убедиться, что это не займет слишком много времени.
2 ответа
~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 12.04.4 LTS
Release: 12.04
Codename: precise
apt-cache policy openssl
openssl:
Installed: 1.0.1-4ubuntu5.14
Candidate: 1.0.1-4ubuntu5.14
Version table:
*** 1.0.1-4ubuntu5.14 0
500 http://archive.ubuntu.com/ubuntu/ precise/main i386 Packages
500 http://archive.ubuntu.com/ubuntu/ precise-security/main i386 Packages
500 http://archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages
100 /var/lib/dpkg/status
-
1apt-get update и apt-get upgrade по умолчанию используются во многих (большинство?) системах. Пользователь должен специально сделать их не одинаковыми, изменив настройки где-нибудь. – trysis 7 June 2014 в 21:10
-
2@trysis update обновляет источники пакетов, upgrade обновляет фактические пакеты, поэтому они не совпадают, и оба необходимы (если только это не было изменено). – user 7 June 2014 в 21:13
-
3@trysis update обновляет источники пакетов, upgrade обновляет фактические пакеты, поэтому они не совпадают, и оба необходимы (если только это не было изменено). – user 7 June 2014 в 21:13
-
4@trysis update обновляет источники пакетов, upgrade обновляет фактические пакеты, поэтому они не совпадают, и оба необходимы (если только это не было изменено). – user 7 June 2014 в 21:13
-
5@trysis update обновляет источники пакетов, upgrade обновляет фактические пакеты, поэтому они не совпадают, и оба необходимы (если только это не было изменено). – user 7 June 2014 в 21:13
-
6@trysis update обновляет источники пакетов, upgrade обновляет фактические пакеты, поэтому они не совпадают, и оба необходимы (если только это не было изменено). – user 7 June 2014 в 21:13
-
7@trysis update обновляет источники пакетов, upgrade обновляет фактические пакеты, поэтому они не совпадают, и оба необходимы (если только это не было изменено). – user 7 June 2014 в 21:13
-
8Извините, я думал о yum-update vs yum-upgrade. – trysis 7 June 2014 в 21:33
-
9я собираюсь установить обновление здесь openssl.org/source [openssl-1.0.1h.tar.gz] - это та же самая версия [1.0.1-4ubuntu5.14]? – Shadin 7 June 2014 в 23:14
-
10Не знаете, почему вы это сделаете. Я рекомендую устанавливать обновления из репозиториев Ubuntu только по возможности. Версия не такая же, как говорит нумерация. – mikewhatever 8 June 2014 в 00:58
Уязвимость влияет на клиентов OpenSSL. Клиенты, использующие версии OpenSSL ниже 1.0.1, подключающиеся к серверам под управлением OpenSSL версий 1.0.1 и выше, уязвимы и должны быть обновлены.
Команда OpenSSL выпустила новые версии.
единственный способ исправить это - установить обновленные пакеты OpenSSL и перезапустить связанные службы. В это время это не вызывает утечки сертификата или секретного ключа.
Для получения дополнительной информации см. новые версии
-
1Это не отвечает правильно, как обновить в Ubuntu, чтобы получить исправление; который заключается в простой установке обновлений с канала обновлений безопасности. Кроме того, ошибка затрагивает как клиентов, так и серверы и доступна только по пути между обеими конечными точками, когда обе конечные точки уязвимы. – dobey 12 June 2014 в 03:12