Ubuntu 报告称更新至CVE-2014-0224 即可解决该问题libssl1.0.0(1.0.1-4ubuntu5.14USN-2232-1)
可以使用以下命令验证这些是已安装的库apt-cache policy openssl:
apt-cache policy openssl
openssl:
Installed: 1.0.1-4ubuntu5.14
Candidate: 1.0.1-4ubuntu5.14
Version table:
*** 1.0.1-4ubuntu5.14 0
500 http://us-east-1.ec2.archive.ubuntu.com/ubuntu/ precise-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu/ precise-security/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1-4ubuntu3 0
500 http://us-east-1.ec2.archive.ubuntu.com/ubuntu/ precise/main amd64 Packages
该漏洞于 2014 年 6 月 5 日被报告(参见这里)
在使用apt-get update和更新后apt-get upgrade,openssl version -a报告构建日期为前报告漏洞的日期。
openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Jun 2 19:37:18 UTC 2014
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
我的问题:
报告日期之前的构建日期是否重要?我是否必须使用 apt 并从源代码进行编译,而不是采用正常的更新/升级方法?
(请注意:这是不是另一个关于 CVE-2014-0224 的问题的重复(参见这里))
答案1
构建日期很重要,但即使该日期早于报告日期,CVE 似乎已被修复。
根据openssl 精确源码包页面,变更日志条目列出了四个正在修复的 CVE,但请注意,变更日志日期是 6 月 2 日,与构建日期相同。Ubuntu Security 首先在他们的 PPA 中构建软件包,然后将其复制过来,这就是为什么在其页面的其他地方写着 6 月 5 日。
注意:由于 CVE2014-0224 补丁的回归,openssl已为所有 Ubuntu 版本发布了新版本。Precise 的最新版本openssl是1.0.1-4ubuntu5.15(上面的链接链接到该源包)。问题中最初提到的版本是这里。