Question Est-ce que ma version OpenSSL 0.9.8 est affectée par heartbleed?


Je lis le livre de recettes OpenSSL, et voici ce que je vois là-bas     

version openssl
OpenSSL 1.0.1 14 mars 2012

Et ceci ma version du serveur mu Ubuntu 14.04     

version openssl
OpenSSL 0.9.8w 23 avril 2012

Mars n'est-il pas avant avril?

Voici ce que j'ai trouvé sur le site web de l'hémorragie cardiaque:

Quelles versions de OpenSSL sont concernées?

Statut des différentes versions:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

Bug a été introduit à OpenSSL en décembre 2011 et est sorti depuis la version 1.0.1 d'OpenSSL le 14 mars 2012. OpenSSL 1.0.1g publié le 7 avril 2014 corrige le bogue.


4
2018-01-25 12:36


origine


Vous devez ignorer les dates et baser votre raisonnement sur les numéros de branche. Même si votre agence 0.9 a eu des changements, cela ne signifie pas qu'ils incluent le backport du changement qui corrige le problème. - RJFalconer
Vous pouvez essayer ce test en ligne: ssllabs.com/ssltest - A.L
Est-ce OpenSSL à partir d'un dépôt Ubuntu? Je ne l'utilise pas moi-même, mais launchpad.net/ubuntu/trusty/+source/openssl dit 14.04 'Trusty' devrait avoir 1.0.1f-1ubuntu2.16 qui est en amont 1.0.1f plus les correctifs de sécurité (y compris le correctif Heartbleed) suivant la politique Ubuntu (et Debian) de gel de la version amont et appliquant uniquement les correctifs critiques. Si vous utilisez un paquet Ubuntu openssl version montre la version et la date gelées à la sortie; la version du correctif est uniquement indiquée par le nom du package dans dpkg ou apt-cache. Dans tous les cas, 0.9.8-tout est à l'abri de Heartbleed. - dave_thompson_085


Réponses:


De https://www.openssl.org/news/vulnerabilities.html

CVE-2014-0160 (Avis OpenSSL) 7 avril 2014: une borne manquante   vérifier la gestion de l'extension de pulsation TLS peut être utilisé pour   révéler jusqu'à 64 Ko de mémoire sur un client ou un serveur connecté (a.k.a.   Heartbleed). Ce problème n’a pas affecté les versions d’OpenSSL antérieures à   1.0.1. Rapporté par Neel Mehta. Corrigé dans OpenSSL 1.0.1g (affecté 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

Je crois que c'est assez explicite.


8
2018-01-25 13:02





Il semble que votre version de la version 0.9.8 ait été corrigée après la première version de la version 1.0.1, mais elle remonte au 5 juillet 2005. Les versions principales seront développées, mais votre version a probablement été corrigée pour les failles de sécurité détectées.

Pour plus de clarté:

0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012

Votre version est assez ancienne et peut être ouverte à Heartbleed, réviser et mettre à jour si nécessaire (.8zh est le dernier)


3
2018-01-25 12:44



mis à jour la question - Edik Mkoyan
Notez que cela suppose que .8zh contient le correctif, qui est ne pas implicite dans la déclaration "OpenSSL 1.0.1g publié le 7 avril 2014 corrige le bogue", quelles que soient les dates. (En réalité, cela a très certainement été rétroporté, mais soyons précis ici). - RJFalconer
@RJFalconer La question a été radicalement modifiée par rapport à la réponse initiale. - Linef4ult
0.9.8 July 205?!? C'est tellement moi vieux Logiciel! - wizzwizz4
@RJFalconer & Linef: 0.9.8 et 1.0.0 n'ont jamais contenu le code de pulsation qui avait le bogue, et n'ont donc jamais eu et n'ont toujours pas cette vulnérabilité. 0.9.8 est en effet à zh - et à partir de ce mois-ci officiellement non pris en charge en amont. Mais AFAICS n'était pas (et n'est pas) supporté par Ubuntu 14.04 de toute façon. - dave_thompson_085