Вы не можете доверять внутренним строкам версии. Версия говорит 1.0.1e, и ошибка влияет от 1.0.0 до 1.0.0f. Достаточно ли этого, чтобы определить, есть ли у вас уязвимая версия openssl? Нет. Внутренняя версия OpenSSL не изменяется, даже если применяются некоторые обновления. Единственный способ надежно идентифицировать вашу версию - это посмотреть версию менеджера пакетов с помощью apt-cache policy или другого инструмента:
➜ ~ apt-cache policy openssl
openssl:
Installed: 1.0.1f-1
Candidate: 1.0.1f-1
Version table:
*** 1.0.1f-1 0
500 http://http.debian.net/debian/ testing/main i386 Packages
100 /var/lib/dpkg/status
➜ ~ dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-============-============-=================================
ii openssl 1.0.1f-1 i386 Secure Sockets Layer toolkit - cr
➜ ~
Как вы можете видеть, моя версия openssl превосходит, по-видимому, влияет , так как это 1.0.1f, теперь, если я проверю изменения:
➜ ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high
* New upstream version
- Fix for TLS record tampering bug CVE-2013-4353
- Drop the snapshot patch
* update watch file to check for upstream signature and add upstream pgp key.
* Drop conflicts against openssh since we now on a released version again.
-- Kurt Roeckx <kurt@roeckx.be> Mon, 06 Jan 2014 18:50:54 +0100
Да, я все еще затронута. Ссылка на CVE-2014-0160 отсутствует в сводке изменений. Но у меня нет службы SSL / TSL, поэтому я могу подождать. Мне просто не нужно создавать сертификаты SSL, используя эту версию OpenSSL. Если я это сделаю, мне просто нужно следовать совету Гилла: снимите услуги, отмените сертификат, создайте новые.