lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
WirrLicht schrieb: naja, weil doch die 1.0.1 e die ich habe unsicher ist, ...
Die ist gepatcht worden:
openssl (1.0.1e-3ubuntu1.2) saucy-security; urgency=medium
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 07 Apr 2014 15:43:47 -0400
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Und in diesem Zusammenhang sei vielleicht nochmal auf die Update-Politik von Ubuntu hingewiesen. Deshalb sagen die Versionsnummern auch nicht immer was aus. Wenn man da Aussagen treffen will, muss man schon die Paketversion genau angeben. ~jug
|
hoffi77
Anmeldungsdatum: 4. April 2014
Beiträge: Zähle...
|
Hallo zusammen, ich hab ebenfalls versucht, mein System (Lubuntu 13.10) auf eine gepatchte OpenSSL-Version zu aktualisieren, leider bekomme ich jedoch keine solche eingespielt: $ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Jul 15 13:05:30 UTC 2013
platform: debian-armhf
options: bn(64,32) rc4(ptr,char) des(idx,cisc,16,long) blowfish(ptr)
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DAES_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
$ openssl version -b
built on: Mon Jul 15 13:05:30 UTC 2013 Diese Version scheint nicht gepacht zu sein (http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1e-3ubuntu1/changelog), was auch diverse Tests bestätigen. Eine neuere Version krieg ich jedoch scheinbar nicht: $ apt-cache policy openssl
openssl:
Installed: 1.0.1e-3ubuntu1
Candidate: 1.0.1e-3ubuntu1
Version table:
*** 1.0.1e-3ubuntu1 0
500 http://ports.ubuntu.com/ubuntu-ports/ saucy/main armhf Packages
100 /var/lib/dpkg/status Hat jemand eine Idee, warum ich keine aktuelle Version bekomme? Thx, Christian
|
duesentriebchen
Anmeldungsdatum: 10. Februar 2012
Beiträge: 713
Wohnort: Im Inntal
|
lubux schrieb: WirrLicht schrieb: naja, weil doch die 1.0.1 e die ich habe unsicher ist, ...
Die ist gepatcht worden:
openssl (1.0.1e-3ubuntu1.2) saucy-security; urgency=medium
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 07 Apr 2014 15:43:47 -0400
|
hoffi77
Anmeldungsdatum: 4. April 2014
Beiträge: 13
|
duesentriebchen schrieb: lubux schrieb: WirrLicht schrieb: naja, weil doch die 1.0.1 e die ich habe unsicher ist, ...
Die ist gepatcht worden:
openssl (1.0.1e-3ubuntu1.2) saucy-security; urgency=medium
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 07 Apr 2014 15:43:47 -0400
Ok, das hatte ich gesehen.. Aber wie genau komme ich dann an diese gepatchte Version ran?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
hoffi77 schrieb: Aber wie genau komme ich dann an diese gepatchte Version ran?
Mit:
sudo apt-get update && sudo apt-get dist-upgrade
|
hoffi77
Anmeldungsdatum: 4. April 2014
Beiträge: 13
|
lubux schrieb: hoffi77 schrieb: Aber wie genau komme ich dann an diese gepatchte Version ran?
Mit:
sudo apt-get update && sudo apt-get dist-upgrade
Das hatte ich schonmal probiert. Eben nochmal durchgeführt.. Ergebnis: $ sudo apt-get update && sudo apt-get dist-upgrade
Ign http://ports.ubuntu.com saucy InRelease
Hit http://ports.ubuntu.com saucy Release.gpg
Hit http://ports.ubuntu.com saucy Release
Hit http://ports.ubuntu.com saucy/main Sources
Hit http://ports.ubuntu.com saucy/universe Sources
Hit http://ports.ubuntu.com saucy/main armhf Packages
Hit http://ports.ubuntu.com saucy/universe armhf Packages
Hit http://ports.ubuntu.com saucy/main Translation-en
Hit http://ports.ubuntu.com saucy/universe Translation-en
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. :-/
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
hoffi77 schrieb: Das hatte ich schonmal probiert. Eben nochmal durchgeführt.. Ergebnis: 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
OK, dann hast Du bereits die gepatchte Version.
|
hoffi77
Anmeldungsdatum: 4. April 2014
Beiträge: 13
|
lubux schrieb: hoffi77 schrieb: Das hatte ich schonmal probiert. Eben nochmal durchgeführt.. Ergebnis: 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
OK, dann hast Du bereits die gepatchte Version.
Ich glaub eben nicht. Hab die 1.0.1e-3ubuntu1: apt-cache policy openssl
openssl:
Installed: 1.0.1e-3ubuntu1
Candidate: 1.0.1e-3ubuntu1
Version table:
*** 1.0.1e-3ubuntu1 0
500 http://ports.ubuntu.com/ubuntu-ports/ saucy/main armhf Packages
100 /var/lib/dpkg/status
Ich befürchte, die neuere Version kann ich gar nich über apt-get beziehen: $ apt-cache showpkg openssl
..
Dependencies:
1.0.1e-3ubuntu1 - libc6 (2 2.15) libssl1.0.0 (2 1.0.1) ca-certificates (0 (null))
Provides:
1.0.1e-3ubuntu1 -
Reverse Provides:
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
hoffi77 schrieb: Ich glaub eben nicht.
Wie sind die Ausgaben von:
openssl version -a | grep -i built
lsb_release -a
?
|
hoffi77
Anmeldungsdatum: 4. April 2014
Beiträge: 13
|
$ openssl version -a | grep -i built
built on: Mon Jul 15 13:05:30 UTC 2013
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 13.10
Release: 13.10
Codename: saucy
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
hoffi77 schrieb: $ openssl version -a | grep -i built
built on: Mon Jul 15 13:05:30 UTC 2013
Und die Ausgabe für:
cat /etc/apt/sources.list
?
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
hoffi77 schrieb: Ich glaub eben nicht. Hab die 1.0.1e-3ubuntu1: apt-cache policy openssl
openssl:
Installed: 1.0.1e-3ubuntu1
Candidate: 1.0.1e-3ubuntu1
Version table:
*** 1.0.1e-3ubuntu1 0
500 http://ports.ubuntu.com/ubuntu-ports/ saucy/main armhf Packages
100 /var/lib/dpkg/status
Ich glaube da liegt das Problem. ARM. ~jug
|
hoffi77
Anmeldungsdatum: 4. April 2014
Beiträge: 13
|
lubux schrieb: Und die Ausgabe für:
cat /etc/apt/sources.list
?
$ cat /etc/apt/sources.list
deb http://ports.ubuntu.com/ubuntu-ports/ saucy main universe
deb-src http://ports.ubuntu.com/ubuntu-ports/ saucy main universe
|
hoffi77
Anmeldungsdatum: 4. April 2014
Beiträge: 13
|
jug schrieb: Ich glaube da liegt das Problem. ARM. ~jug
Heißt das, es gibt für ARM keine aktuellere Version im Rep.?
|