[+] deb 7.5 i wersja openssl - heartbleed?

Smaku · Post autor: **Smaku** » 06 maja 2014, 19:50

czesc,

właśnie jestem po instlacji nowej wersji 7.5 (iso pobrane z debian.org)
sprawdzam wersje OpenSSL a tu 1.0.1e czy przypadkiem nie powinno być jakiejś aktualizacji do wersji odpornej na heartbleed?
apt-get upgrade/update nie zawierają poprawek dla openssl.

Jeśli ktoś może to bardzo proszę o pomoc... chciałbym dokonać upgrade do wersji co najmniej 1.0.1g

ArnVaker · Post autor: **ArnVaker** » 06 maja 2014, 20:06

Była:

openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high

* Non-maintainer upload by the Security Team.
* Add CVE-2014-0160.patch patch.
CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure.
A missing bounds check in the handling of the TLS heartbeat extension
can be used to reveal up to 64k of memory to a connected client or
server.

-- Salvatore Bonaccorso <carnil@debian.org> Mon, 07 Apr 2014 22:26:55 +0200

Post autor: **Yampress** » 06 maja 2014, 21:01

W debianie stable to tak nie jest, że naprawiona paczka jest z innym numerem. Jest to ten sam numer programu co był ale naprawiony. Więc nie masz się co obawiać. Jeśli tylko masz repo security włączone to system zaktualizował tą paczkę do wersji z poprawionym błędem. Różnica jest tylko w nazwie paczki, a program ma nadal tą samą wersje.

Smaku · Post autor: **Smaku** » 06 maja 2014, 22:33

czyli jeśli dobrze rozumiem to jest to wersja 1.0.1e ale przekompilowana z "-DOPENSSL_NO_HEARTBEATS".

Post autor: **Yampress** » 06 maja 2014, 22:46

Nie wiem co zrobili, ale zrobili to tak, że błąd naprawili.

Jakiego systemu poprzednio używałeś? Pytam po to aby zrozumieć mechanizm naprawiania błędów wg którego kierujesz swoje myślenie.

ArnVaker · Post autor: **ArnVaker** » 06 maja 2014, 23:32

Pewnie zrobili to co napisali w changelogu – nałożyli stosowną łatkę.

Smaku · Post autor: **Smaku** » 06 maja 2014, 23:55

systemów różnych (openBSD/Win/CentOS) do tej pory Debian tylko jako desktop.
Najważniejsze że się chwalą poprawka w changelog'u.

Post autor: **Yampress** » 07 maja 2014, 10:56

Skoro używałeś centka to tam jest tak samo jak w debianie. Jest sobie wersja programu 5.0 i jest wersja paczki el6_5.2 , a w niej jest dziura (pisze dla przykładu) Także więc naprawiają tą sama wersje programu 5.0 tylko wersje paczki dają inną dają el6_5.3 itp.

W openbsd jest inaczej. Bo ssl nie jest w paczce, a skoro używałeś to będziesz wiedział gdzie jest

OpenBSD 5.5 (GENERIC.MP) #315: Wed Mar 5 09:37:46 MST 2014

Także widzisz. W debianie jest ta sama wersja programu przez cały czas życia wydania. Jeśli jest jakaś luka to ją naprawiają nakładając patche. Zmienia się numer paczki, a numer programu jest ten sam.

Smaku · Post autor: **Smaku** » 07 maja 2014, 20:34

no i mogę spać spokojnie.
Dziekuję za pomoc.