4

Я читаю кулинарную книгу OpenSSL, и вот что я там вижу 

openssl version
OpenSSL 1.0.1 14 Mar 2012

А это моя версия сервера Ubuntu 14.04 

openssl version
OpenSSL 0.9.8w 23 Apr 2012

Разве март раньше, чем апрель?

Вот что я нашел на сайте кровотечения:

Какие версии OpenSSL затронуты?

Статус разных версий:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

Ошибка была введена в OpenSSL в декабре 2011 года и была в свободном доступе с момента выпуска OpenSSL 1.0.1 14 марта 2012 года. OpenSSL 1.0.1g, выпущенный 7 апреля 2014 года, исправляет ошибку.

|источник

2 ответа2

8

С https://www.openssl.org/news/vulnerabilities.html

CVE-2014-0160 (рекомендация OpenSSL) 7 апреля 2014 года. Проверка пропущенных границ в обработке расширения пульса TLS может использоваться для выявления до 64 КБ памяти подключенному клиенту или серверу (он же Heartbleed). Эта проблема не затрагивала версии OpenSSL до 1.0.1. Об этом сообщает Нил Мехта. Исправлено в OpenSSL 1.0.1g (подвержено уязвимости 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

Я считаю, что это довольно очевидно.

|источник
3

Похоже, что ваша версия 0.9.8 была исправлена после первого выпуска 1.0.1, но на самом деле датируется 5 июля 2005 года. Основные версии будут доработаны, но ваша версия предположительно была исправлена для обнаруженных уязвимостей.

Для ясности:

0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012

Ваша версия довольно старая и может быть открыта для Heartbleed, просматривать и обновлять по мере необходимости (последняя версия .8zh)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .