Frage Ist meine OpenSSL-Version 0.9.8 von Heartbleed betroffen?


Ich lese das OpenSSL-Kochbuch und hier, was ich dort sehe     

OpenSSL-Version
OpenSSL 1.0.1 14. März 2012

Und das ist meine Version von Ubuntu 14.04 Server     

OpenSSL-Version
OpenSSL 0.9.8w 23 Apr 2012

Ist der März nicht früher als April?

Hier ist, was ich auf Herzblut-Website gefunden habe:

Welche Versionen von OpenSSL sind betroffen?

Status verschiedener Versionen:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

Bug wurde im Dezember 2011 in OpenSSL eingeführt und ist seit dem OpenSSL Release 1.0.1 am 14. März 2012 in der freien Natur. OpenSSL 1.0.1g, veröffentlicht am 7. April 2014, behebt den Fehler.


4
2018-01-25 12:36


Ursprung


Sie sollten die Daten ignorieren und Ihre Argumentation von Zweigstellen ableiten. Obwohl Ihr 0.9-Zweig Änderungen vorgenommen hat, bedeutet dies nicht, dass sie den Rückport der Änderung enthalten, die Heartbleed behebt. - RJFalconer
Sie können diesen Online-Test ausprobieren: ssllabs.com/ssltest - A.L
Ist das OpenSSL von einem Ubuntu-Repository? Ich benutze es nicht selbst, aber launchpad.net/ubuntu/trusty/+source/openssl sagt 14.04 'Trusty' sollte 1.0.1f-1ubuntu2.16 haben, das ist upstream 1.0.1f plus Sicherheits-Patches (einschließlich der Heartbleed-Fix) nach der Ubuntu (und Debian) Richtlinie Einfrieren Upstream-Version und die Anwendung nur kritische Patches. Wenn Sie ein Ubuntu-Paket verwenden openssl version zeigt die bei Release eingefrorene Version und das Datum; Die Patch-Version wird nur durch den Paketnamen angezeigt dpkg oder apt-cache. In jedem Fall ist 0.9.8-irgendetwas vor Heartbleed sicher. - dave_thompson_085


Antworten:


Von https://www.openssl.org/news/vulnerabilities.html

CVE-2014-0160 (OpenSSL Advisory) 7. April 2014: Fehlende Grenzen   Check-in die Handhabung der TLS-Heartbeat-Erweiterung kann verwendet werden   offenbaren bis zu 64 kB Speicher für einen verbundenen Client oder Server (a.k.a.   Heartbleed). Dieses Problem hatte vor Versionen von OpenSSL keine Auswirkungen   1.0.1. Berichtet von Neel Mehta. In OpenSSL 1.0.1g behoben (Betroffen 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

Ich glaube, das ist ziemlich selbsterklärend.


8
2018-01-25 13:02





Es scheint, dass Ihre Version von 0.9.8 nach der ersten Version von 1.0.1 gepatcht wurde, aber tatsächlich auf den 5. Juli 2005 zurückgeht. Die Hauptversionen würden weiter entwickelt werden, aber Ihre Version wurde vermutlich für Sicherheitslücken gepatcht, die gefunden wurden.

Zur Klarheit:

0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012

Ihre Version ist ziemlich alt und möglicherweise offen für Heartbleed, überprüfen und aktualisieren wie erforderlich (.8zh ist das neueste)


3
2018-01-25 12:44



hat die Frage aktualisiert - Edik Mkoyan
Beachten Sie, dass davon ausgegangen wird, dass .8zh den Fix enthält nicht impliziert durch die Aussage "OpenSSL 1.0.1g veröffentlicht am 7. April 2014 behebt den Fehler", unabhängig von Daten. (In Wirklichkeit ist es fast sicher rückportiert worden, aber lassen Sie uns hier genau sein). - RJFalconer
@RJFalconer Die Frage wurde radikal geändert, als ich anfänglich geantwortet habe. - Linef4ult
0.9.8 July 205?!? Das bin so ich alt Software! - wizzwizz4
@RJFalconer & Linef: 0.9.8 und 1.0.0 enthielten nie den Heartbeat-Code, der den Fehler hatte, und hatten daher nie die Sicherheitslücke. 0.9.8 ist in der Tat bis zh - und ab diesem Monat offiziell nicht Upstream. Aber AFAICS wurde (und wird nicht) von Ubuntu 14.04 sowieso nicht unterstützt. - dave_thompson_085