我查过一个网站工具结果显示“该服务器存在 OpenSSL CCS 漏洞 (CVE-2014-0224),且可被利用”。
我搜索了一下,发现要想不受到攻击,版本必须高于此输出:
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Jun 2 19:37:18 UTC 2014
我现在的版本是
OpenSSL 1.0.1c 10 May 2012
built on: Fri May 2 20:25:02 UTC 2014
我尝试了几种方法来升级我的 openssl这和这但我仍然得到相同的版本。例如,当我执行时,sudo apt-get dist-upgrade我收到此消息:
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
我第一次运行此命令时,软件包就被安装了,并且我用它重启了我的计算机sudo reboot。
有什么线索可以让我更新 openSSL 以避免此漏洞吗?我可能还遗漏了什么吗?
答案1
好的,正如问题评论中提到的,您的问题是您正在运行 Ubuntu 12.10,该版本在今年早些时候停止支持,大约在 OpenSSL CCS 问题发布前一个月。因此,Ubuntu 12.10 没有适合的 OpenSSL 版本,将来也不会有。
从较新的 Ubuntu 获取 openssl/libssl 包可能并非易事,因为您安装的其他包可能依赖于特定的 openssl 版本。似乎记得 libssl 在编译时对版本相当挑剔。
虽然您可以采取一些措施,例如自行反向移植修复程序(并非易事),但考虑到其他软件包中所有其他潜在的安全问题,您确实需要升级到受支持的 Ubuntu 版本。特别是因为您似乎正在运行 Web 服务器,而这通常具有相当大的攻击面。
对于服务器,您通常希望使用 Ubuntu 的 LTS 版本。尤其是现在,新的非 LTS 版本仅支持 9 个月,而 LTS 版本则获得 5 年的支持。当前的 LTS 版本是 Ubuntu 12.04 和 Ubuntu 14.04。
答案2
openssl 库可能是最新的,但已经启动的软件可能正在使用旧版本。
每次共享库更新后,每个使用它的软件都应重新启动才能使用新版本。
该软件包debian-goodies包含一个脚本:checkrestart它将列出使用旧版本更新库运行的软件并建议重新启动受影响的守护进程。