我已在 Ubuntu 12.04.4 LTS 上将 OpenSSL 更新至版本 1.0.1g:
user@server# dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
ii python-openssl 0.12-1ubuntu2.1 Python wrapper around the OpenSSL library
问题:我也需要更新 Apache2 mod_ssl 吗?如果需要,该怎么做?
user@server# strings /usr/lib/apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012
Apache2 版本
user@server# dpkg -l |grep apache2
ii apache2 2.4.2-2~ppa1 Apache HTTP Server
ii apache2-bin 2.4.2-2~ppa1 Apache HTTP Server (binary files and modules)
ii apache2-data 2.4.2-2~ppa1 Apache HTTP Server (common files)
ii apache2-mpm-worker 2.4.2-2~ppa1 transitional worker MPM package for apache2
ii apache2-utils 2.4.2-2~ppa1 Apache HTTP Server (utility programs for web servers)
rc apache2.2-common 2.2.22-1ubuntu1.4 Apache HTTP Server common files
答案1
不是,ModSSL 是 OpenSSL 的一个接口,因此它本身不需要任何更新。
答案2
我正在使用基于 Debian 的 Kali(Backtrack),但仍然与 ubuntu 相似。
我首先升级了 openssl(apt-get install openssl),但在停止并启动我的 apache2 网络服务器后,漏洞仍然存在(使用 Jared Stafford 的 ssltest.py 进行测试......可在网上轻松获取)。
发现还需要升级“libssl”的说明如下:apt-get install libssl1.0.0
之后,重新启动我的网络服务器,漏洞就消失了。
一般来说,openssl 1.0.1g 是最低修补/安全版本。请注意,对于 Debian 发行版,openssl 和 libssl1.0.0 的最低修补/安全版本都是 1.0.1e-2+deb7u6。我不知道相应的 Ubuntu 版本是什么。
无论如何,这似乎不仅仅是升级 openssl 这么简单。