Questão Minha versão 0.9.8 do OpenSSL é afetada por heartbleed?


Eu estou lendo o livro de receitas do OpenSSL, e aqui o que eu vejo lá     

versão openssl
OpenSSL 1.0.1 14 de março de 2012

E esta minha versão do mu Ubuntu 14.04 server     

versão openssl
OpenSSL 0.9.8w 23 de abril de 2012

Não é março antes de abril?

Aqui está o que eu encontrei no site do sangramento do coração:

Quais versões do OpenSSL são afetadas?

Status de diferentes versões:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

O Bug foi introduzido no OpenSSL em dezembro de 2011 e está disponível desde o lançamento do OpenSSL 1.0.1 em 14 de março de 2012. O OpenSSL 1.0.1g lançado em 7 de abril de 2014 corrige o bug.


4


origem


Você deve ignorar as datas e basear seu raciocínio em números de filiais. Mesmo que sua ramificação 0.9 tenha sofrido alterações, isso não significa que elas incluem o backport da alteração que corrige heartbleed. - RJFalconer
Você pode tentar este teste online: ssllabs.com/ssltest - A.L
Este OpenSSL é de um repositório do Ubuntu? Eu não uso eu mesmo, mas launchpad.net/ubuntu/trusty/+source/openssl diz 14.04 'Trusty' deve ter 1.0.1f-1ubuntu2.16 que é upstream 1.0.1f mais patches de segurança (incluindo a correção Heartbleed) seguindo a política do Ubuntu (e Debian) de congelar versão upstream e aplicar apenas patches críticos. Se estiver usando um pacote do Ubuntu openssl version mostra a versão e a data congeladas no lançamento; a versão do patch só é mostrada pelo nome do pacote em dpkg ou apt-cache. Em qualquer caso 0.9.8-nada está a salvo do Heartbleed. - dave_thompson_085


Respostas:


A partir de https://www.openssl.org/news/vulnerabilities.html

CVE-2014-0160 (consultivo OpenSSL) 7 de abril de 2014: A missing bounds   verifique no manuseio da extensão de heartbeat TLS pode ser usado para   revelar até 64kB de memória para um cliente ou servidor conectado (a.k.a.   Heartbleed). Esse problema não afetou as versões do OpenSSL anteriores a   1.0.1. Relatado por Neel Mehta. Corrigido no OpenSSL 1.0.1g (afetado 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

Eu acredito que isso é bastante auto-explicativo.


8





Parece que sua versão de 0.9.8 foi corrigida após o primeiro lançamento de 1.0.1, mas na verdade data de 5 de julho de 2005. As versões principais seriam desenvolvidas ainda, mas sua versão provavelmente foi corrigida para as vulnerabilidades de segurança encontradas.

Para maior clareza:

0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012

Sua versão é bem antiga e pode estar aberta para Heartbleed, revisar e atualizar conforme necessário (o .8zh é o mais recente)


3



atualizou a questão - Edik Mkoyan
Observe que isso pressupõe que .8zh contém a correção, que é não implícito pela declaração "OpenSSL 1.0.1g lançado em 7 de abril de 2014 corrige o erro", independentemente das datas. (Na verdade, quase certamente já foi feito backport, mas vamos ser precisos aqui). - RJFalconer
@RJFalconer A questão foi radicalmente alterada desde quando respondi inicialmente. - Linef4ult
0.9.8 July 205?!? Isso é tão Eu velho Programas! - wizzwizz4
@RJFalconer & Linef: 0.9.8 e 1.0.0 nunca continham o código de pulsação que tinha o bug e, portanto, nunca teve e ainda não tem a vulnerabilidade. 0.9.8 é de fato até zh - e a partir deste mês oficialmente sem suporte a montante. Mas o AFAICS não era (e não é) suportado pelo Ubuntu 14.04. - dave_thompson_085