我正在运行一个Ubuntu 12.04服务器,我刚更新了服务器(之后重新启动)
sudo apt-get dist-upgrade 现在开放的SSL版本,它是build立在2014年4月7日什么是好的,但版本似乎是1.0.1e,这是脆弱的。 那么什么是正确的,date或版本信息?
Ubuntu向1.0.1e反向移植了这个修补程序,而不是切换到新的版本。 有关详细信息,请参阅zless /usr/share/doc/openssl/changelog.Debian.gz 。
但是,您必须重新启动受影响的服务(在启动时加载旧版本),否则它们将保持脆弱。
$ sudo apt-get changelog openssl | grep CVE-2014-0160 - debian/patches/CVE-2014-0160.patch: use correct lengths in - CVE-2014-0160
这会告诉你,如果你有一个补丁版本。
升级OPENSSL从___FAR___是不够的。
我至less推荐你,但我并不详尽:
更详细的答案可以在这里find: Heartbleed:它是什么,什么是减轻它的select? 要检查您的OPENSSL版本是否在任何基于debian的发行版中不受攻击,您可以执行以下操作:
apt-get update && apt-get install openssl
如果你获得
openssl is already the newest version.
那么你不是脆弱的。 所有主要的Linux和BSD发行版本都很快包含了openssl的安全版本。
截至今天,这里是预期产出:
# openssl version -a OpenSSL 1.0.1e 11 Feb 2013 built on: Thu Apr 17 20:54:07 UTC 2014