Вопрос Является ли моя версия OpenSSL 0.9.8 затронутой брызгами?


Я читаю поваренную книгу OpenSSL, и вот что я вижу там     

версия openssl
OpenSSL 1.0.1 14 марта 2012 г.

И это моя версия mu Ubuntu 14.04 server     

версия openssl
OpenSSL 0.9.8w 23 апр 2012

Разве не в марте раньше, чем в апреле?

Вот что я нашел на веб-сайте кровотечения на сердце:

Какие версии OpenSSL затронуты?

Статус разных версий:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

Ошибка была введена OpenSSL в декабре 2011 года и вышла в диком виде с версии OpenSSL 1.0.1 14 марта 2012 года. OpenSSL 1.0.1g, выпущенный 7 апреля 2014 года, исправляет ошибку.


4
2018-01-25 12:36


происхождения


Вы должны игнорировать даты и основывать свои рассуждения на номерах филиалов. Несмотря на то, что ваша ветка 0.9 имела изменения, это не означает, что они включают в себя резерв изменений, который исправляет бровь. - RJFalconer
Вы можете попробовать этот онлайн-тест: ssllabs.com/ssltest - A.L
Это OpenSSL из репозитория Ubuntu? Я не использую его сам, но launchpad.net/ubuntu/trusty/+source/openssl говорит, что 14.04 «Trusty» должен иметь 1.0.1f-1ubuntu2.16, который является upstream 1.0.1f плюс исправления безопасности (включая исправление Heartbleed), следуя политике Ubuntu (и Debian) для замораживания версии вверх и применения только критических исправлений. Если вы используете пакет Ubuntu openssl version показывает версию и дату, замороженную при выпуске; версия патча отображается только именем пакета в dpkg или apt-cache, В любом случае 0.9.8-что-либо безопасно от Heartbleed. - dave_thompson_085


ответы:


Из https://www.openssl.org/news/vulnerabilities.html

CVE-2014-0160 (консультация OpenSSL) 7 апреля 2014 года: недостающие ограничения   проверка работы с расширением сердцебиения TLS может быть использована для   выявить до 64 КБ памяти подключенному клиенту или серверу (a.k.a.   Heartbleed). Эта проблема не повлияла на версии OpenSSL до   1.0.1, Сообщается Нилом Мехтой. Исправлено в OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

Я считаю, что это совершенно понятно.


8
2018-01-25 13:02





Похоже, ваша версия 0.9.8 была исправлена ​​после первого выпуска 1.0.1, но на самом деле датируется 5 июля 2005 года. Основные версии будут развиваться дальше, но ваша версия предположительно была исправлена ​​за обнаруженные уязвимости безопасности.

Для ясности:

0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012

Ваша версия довольно старая и может быть открытой для Heartbleed, просмотра и обновления по мере необходимости (.8zh - последний)


3
2018-01-25 12:44



обновил вопрос - Edik Mkoyan
Заметим, что это предполагает, что .8zh содержит исправление, которое не подразумеваемый заявлением «OpenSSL 1.0.1g, выпущенным 7 апреля 2014 года, исправляет ошибку», независимо от дат. (На самом деле это почти наверняка было обращено, но давайте точно будем здесь). - RJFalconer
Вопрос @RJFalconer был радикально изменен с того момента, когда я сначала ответил. - Linef4ult
0.9.8 July 205?!? Это некоторые старый программного обеспечения! - wizzwizz4
@RJFalconer & Linef: 0.9.8 и 1.0.0 никогда не содержали код сердцебиения, который имел ошибку, и поэтому никогда не имели и до сих пор не имеют уязвимости. 0.9.8 действительно до zh - и по состоянию на этот месяц официально не поддерживается вверх по течению. Но AFAICS в любом случае не поддерживал (и не поддерживался) Ubuntu 14.04. - dave_thompson_085