这个 OpenSSL 错误修复了吗？（Ubuntu 14.04 LTS）

查找问题是否已修复的最简单方法是搜索安全团队中的各个 CVE 编号（在发出的通知中）CVE 追踪。这表明特定的 CVE 是否已在 Ubuntu 中修复，或者 CVE 是否影响 Ubuntu。

关于您链接的通知，其中引用的所有 CVE 都已在 Ubuntu 的 OpenSSL 包中修复。

以下是 Ubuntu 安全团队 CVE 跟踪器数据的强制链接转储，其中包含 OpenSSL 通知中的一些 CVE：

• CVE-2014-0224（来自该通知）：修复已发布（https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0224.html）
• CVE-2014-0221（来自通知）：修复已发布（https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0221.html）
• CVE-2014-0195（来自通知）：修复已发布（https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0195.html）
• CVE-2014-0198（来自通知）：修复已发布（https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0198.html）
• CVE-2010-5298（来自通知）：修复已发布（https://people.canonical.com/~ubuntu-security/cve/2010/CVE-2010-5298.html）
• CVE-2014-3470（来自通知）：修复已发布（https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-3470.html）
• CVE-2014-0076（来自通知）：修复已发布（https://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0076.html）

---

openssl version关于 OpenSSL 软件包修订号和输出的说明

Ubuntu 中的 OpenSSL 软件包大部分都锁定在每个 Ubuntu 版本中的特定 OpenSSL 版本上也就是说，对于 Trusty 来说，核心 OpenSSL 版本是 OpenSSL 1.0.1f，从 2014 年 1 月开始。这只是核库版本，它没有考虑应用于它的补丁等等。

确定软件包是否已更新补丁等的方法是通过 Debian 软件包修订号和相应的更新日志条目截至本文发布时，Ubuntu Trusty 中的 OpenSSL 包和相应库的版本目前为：

 openssl | 1.0.1f-1ubuntu2    | trusty           | source, amd64, arm64, armhf, i386, powerpc, ppc64el
 openssl | 1.0.1f-1ubuntu2.21 | trusty-security  | source, amd64, arm64, armhf, i386, powerpc, ppc64el
 openssl | 1.0.1f-1ubuntu2.21 | trusty-updates   | source, amd64, arm64, armhf, i386, powerpc, ppc64el

查看第二列，我们看到 OpenSSL 的最新版本是1.0.1f-1ubuntu2.21，这意味着自初始 Trusty 版本（有1.0.1f-1ubuntu2）以来它已经过多次修订。

OpenSSL 软件包的软件包构建规则不使用版本数据中的 Debian 字符串。它仅使用 OpenSSL 原始版本字符串，1.0.1f。这就是为什么openssl version会产生误导，而对于 OpenSSL 的预打包版本，您需要依赖软件包的更改日志、Ubuntu 安全跟踪器和版本字符串包裹而不是version打包软件中的命令（至少对于 OpenSSL 而言）。