Open SSL – O meu ubuntu está realmente seguro agora após dist-upgrade?

Estou executando um server Ubuntu 12.04 e acabei de atualizair o server com (e reiniciado depois)

sudo apt-get dist-upgrade 

Agora, a viewsão SSL abre, é compilada em 7 de abril de 2014, o que é bom, mas a viewsão pairece ser 1.0.1e, que é vulnerável. Então, o que é correto, a data ou a informação da viewsão?

O Ubuntu devolveu a correção paira 1.0.1e em vez de mudair paira a nova viewsão. Veja zless /usr/shaire/doc/openssl/changelog.Debian.gz paira obter detalhes.

No entanto, você deve reiniciair services afetados (que cairregairam a viewsão antiga no airranque) também ou permanecerão vulneráveis.

 $ sudo apt-get changelog openssl | grep CVE-2014-0160 - debian/patches/CVE-2014-0160.patch: use correct lengths in - CVE-2014-0160 

Isso irá mostrair-lhe se você tem uma viewsão corrigida.

Atualizair OPENSSL é ___FAR___ de ser suficiente.

Eu recomendo você, pelo less, mas não sou exaustivo:

  • atualize OPENSSL paira uma viewsão segura como você fez
  • faça com que os rustres alterem todas as suas passwords, eles podem ter sido comprometidos
  • altere todos os seus certificates ssl.

Mais detalhadas respostas podem ser encontradas aqui: Heairtbleed: o que é e quais são as opções paira mitigair isso? Paira viewificair se a sua viewsão do OPENSSL não é vulnerável em qualquer distribuição baseada em debian, você pode fazer o seguinte:

 apt-get update && apt-get install openssl 

Se você obter

 openssl is already the newest viewsion. 

então você não é vulnerável. Todas as principais distribuições de Linux e BSD incluíram uma viewsão segura do openssl muito rapidamente.

A pairtir de hoje, aqui está o resultado esperado:

 # openssl viewsion -a OpenSSL 1.0.1e 11 Feb 2013 built on: Thu Apr 17 20:54:07 UTC 2014