只有OpenSSL 1.0.1f或更高版本才能解决心脏病漏洞。 那么Ubuntu 12.04LTS是否有修复? 我们需要使用12.04LTS的原因,我不会进入,我们不能升级。
根据这个页面,它使用OpenSSL“1.0.1”(在版本号末尾没有字母): http : //packages.ubuntu.com/precise/libssl-dev
它在右边有这个文件链接… [openssl_1.0.1.orig.tar.gz]
那.orig文件能告诉我们什么吗?
有谁知道是否真的有一个“1.0.1”版本的OpenSSL,或者如果有人刚刚删除了这封信?
Ubuntu 12.04LTS中受影响的OpenSSL版本的实际版本是1.0.1-4ubuntu5.11,当前版本是1.0.1-4ubuntu5.21(这里末尾的数字很重要)。 它已经被修补了几次,不应该受到心跳错误的影响。
下面是一个链接,您可以从中看到不同版本中受影响的版本号: http : //heartbleed.com/
以防万一这里也是在Ubuntu 12.04LTS OpenSSL changelog: http ://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
修复为1.0.1-4ubuntu5.12提到heartbleed这样的几个版本回来。
了解这一点的方法是查看Ubuntu安全声明(USN),每次在Ubuntu中修复漏洞时都会发布这些声明。 在这种情况下,写入它所固定的包的发布。
例如,对于心存不满的USN是USN-2165-1( http://www.ubuntu.com/usn/usn-2165-1/ ),其中指出它已经在1.0.1-4ubuntu5.12对于Ubuntu 12.04LTS。
可以通过电子邮件订阅这样的USN,感谢ubuntu-security-announce邮件列表: https : //lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
干杯,