Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] deb 7.5 i wersja openssl - heartbleed?

https://www.debian.pl/viewtopic.php?t=30797

Strona 1 z 1

[+] deb 7.5 i wersja openssl - heartbleed?

: 06 maja 2014, 19:50
autor: Smaku
czesc,

właśnie jestem po instlacji nowej wersji 7.5 (iso pobrane z debian.org)
sprawdzam wersje OpenSSL a tu 1.0.1e czy przypadkiem nie powinno być jakiejś aktualizacji do wersji odpornej na heartbleed?
apt-get upgrade/update nie zawierają poprawek dla openssl.

Jeśli ktoś może to bardzo proszę o pomoc... chciałbym dokonać upgrade do wersji co najmniej 1.0.1g

: 06 maja 2014, 20:06
autor: ArnVaker
Była:
openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high

* Non-maintainer upload by the Security Team.
* Add CVE-2014-0160.patch patch.
CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure.
A missing bounds check in the handling of the TLS heartbeat extension
can be used to reveal up to 64k of memory to a connected client or
server.

-- Salvatore Bonaccorso <carnil@debian.org> Mon, 07 Apr 2014 22:26:55 +0200

: 06 maja 2014, 21:01
autor: Yampress
W debianie stable to tak nie jest, że naprawiona paczka jest z innym numerem. Jest to ten sam numer programu co był ale naprawiony. Więc nie masz się co obawiać. Jeśli tylko masz repo security włączone to system zaktualizował tą paczkę do wersji z poprawionym błędem. Różnica jest tylko w nazwie paczki, a program ma nadal tą samą wersje.

: 06 maja 2014, 22:33
autor: Smaku
czyli jeśli dobrze rozumiem to jest to wersja 1.0.1e ale przekompilowana z "-DOPENSSL_NO_HEARTBEATS".

: 06 maja 2014, 22:46
autor: Yampress
Nie wiem co zrobili, ale zrobili to tak, że błąd naprawili.

Jakiego systemu poprzednio używałeś? Pytam po to aby zrozumieć mechanizm naprawiania błędów wg którego kierujesz swoje myślenie.

: 06 maja 2014, 23:32
autor: ArnVaker
Pewnie zrobili to co napisali w changelogu – nałożyli stosowną łatkę. :)

: 06 maja 2014, 23:55
autor: Smaku
systemów różnych (openBSD/Win/CentOS) do tej pory Debian tylko jako desktop.
Najważniejsze że się chwalą poprawka w changelog'u.

: 07 maja 2014, 10:56
autor: Yampress
Skoro używałeś centka to tam jest tak samo jak w debianie. Jest sobie wersja programu 5.0 i jest wersja paczki el6_5.2 , a w niej jest dziura (pisze dla przykładu) Także więc naprawiają tą sama wersje programu 5.0 tylko wersje paczki dają inną dają el6_5.3 itp.

W openbsd jest inaczej. Bo ssl nie jest w paczce, a skoro używałeś to będziesz wiedział gdzie jest

OpenBSD 5.5 (GENERIC.MP) #315: Wed Mar 5 09:37:46 MST 2014

Także widzisz. W debianie jest ta sama wersja programu przez cały czas życia wydania. Jeśli jest jakaś luka to ją naprawiają nakładając patche. Zmienia się numer paczki, a numer programu jest ten sam.

: 07 maja 2014, 20:34
autor: Smaku
no i mogę spać spokojnie.
Dziekuję za pomoc. ;)
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl