我用这个工具检查了一个站点,结果又回来了:“这个服务器很容易受到OpenSSL CCS漏洞(CVE-2014-0224)的攻击。”
我四处search,发现不易受攻击的版本必须高于这个输出:
OpenSSL 1.0.1 14 Mar 2012 built on: Mon Jun 2 19:37:18 UTC 2014 我目前的版本是
OpenSSL 1.0.1c 10 May 2012 built on: Fri May 2 20:25:02 UTC 2014
我尝试了几种方法来升级我的openssl,像这样 ,但我仍然得到相同的版本。 例如,当我执行sudo apt-get dist-upgrade我收到以下消息:
Reading package lists... Done Building dependency tree Reading state information... Done Calculating upgrade... Done 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
我第一次运行这个命令,软件包已经安装,我用sudo reboot启动了我的机器。
任何线索如何更新我的openSSL以避免此漏洞? 还有什么我可能会失踪?
好的,正如问题中提出的那样,你的问题在于你正在运行Ubuntu 12.10,而在刚刚发布OpenSSL CCS问题的大约一个月之前,Ubuntu 12.10就是在今年早些时候被支持的。 因此,Ubuntu 12.10没有任何好的OpenSSL版本,不会有。
从较新的Ubuntu获取openssl / libssl软件包可能不是微不足道的,因为您已安装的其他软件包可能依赖于特定的openssl版本。 似乎回想当编译时,libssl是相当严重的版本。
虽然有些事情可以做,比如自己修复这个修复(非平凡),但是如果考虑到其他软件包中所有其他潜在的安全问题,则需要升级到支持的Ubuntu版本。 特别是因为你似乎正在运行一个networking服务器,通常有一个相当大的攻击面。
对于你通常想要使用LTS版本的Ubuntu的服务器。 特别是现在,新的非LTS版本只支持九个月,LTS版本支持五年。 目前的LTS版本是Ubuntu 12.04和Ubuntu 14.04。
openssl库可能是最新的,但已经启动的软件可能会使用旧版本。
每次共享库更新后,每个使用它的软件都应该重新启动以使用新版本。
软件包debian-goodies包含一个脚本: checkrestart ,它将列出运行旧版本更新库的软件,并build议重新启动受影响的守护进程。