只有 OpenSSL 1.0.1f 或更高版本修复了 heartbleed 漏洞。那么 Ubuntu 12.04LTS 有修复吗?我们需要使用 12.04LTS,原因我就不多说了,而且我们无法升级。
根据此页面,它使用 OpenSSL“1.0.1”(版本号末尾没有字母): http://packages.ubuntu.com/precise/libssl-dev
右侧有此文件链接... [openssl_1.0.1.orig.tar.gz]
那个 .orig 文件能告诉我们什么吗?
是否有人知道 OpenSSL 是否真的有“1.0.1”版本,或者是否有人只是删掉了这个字母?
答案1
Ubuntu 12.04LTS 中受影响的 OpenSSL 版本的实际版本是 1.0.1-4ubuntu5.11,当前版本是 1.0.1-4ubuntu5.21(末尾的数字很重要)。此后已多次修补,应该不会受到 heartbleed 漏洞的影响。
您可以从以下链接查看不同发行版中受影响的版本号:http://heartbleed.com/
以防万一,这里还有 Ubuntu 12.04LTS 中 OpenSSL 的更新日志:http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog
提到了针对 1.0.1-4ubuntu5.12 的 heartbleed 修复,因此是几个版本的前身。
答案2
了解这一点的一种方法是查看 Ubuntu 安全通知 (USN),每次修复 Ubuntu 中的漏洞时都会发布该通知。在这种情况下,会写明修复漏洞的软件包的版本。
例如,对于 heartbleed,USN 是 USN-2165-1 (http://www.ubuntu.com/usn/usn-2165-1/) 指出该问题已在 Ubuntu 12.04LTS 的 1.0.1-4ubuntu5.12 中得到修复。
感谢 ubuntu-security-announce 邮件列表,可以通过电子邮件订阅此类 USN:https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
干杯,