Pregunta ¿Está mi versión de OpenSSL 0.9.8 afectada por heartbleed?


Estoy leyendo el libro de cocina OpenSSL, y aquí lo que veo allí     

versión openssl
OpenSSL 1.0.1 14 mar 2012

Y esta es mi versión del servidor mu Ubuntu 14.04     

versión openssl
OpenSSL 0.9.8w 23 de abril de 2012

¿No es marzo antes que abril?

Esto es lo que he encontrado en el sitio web de hemorragia cardíaca:

¿Qué versiones de OpenSSL se ven afectadas?

Estado de las diferentes versiones:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

Bug se introdujo en OpenSSL en diciembre de 2011 y ha estado en libertad desde la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. OpenSSL 1.0.1g lanzado el 7 de abril de 2014 corrige el error.


4


origen


Debe ignorar las fechas y basar su razonamiento en los números de las sucursales. Aunque su rama 0.9 haya tenido cambios, no significa que incluyan el respaldo del cambio que corrige heartbleed. - RJFalconer
Puedes probar esta prueba en línea: ssllabs.com/ssltest - A.L
¿Es este OpenSSL de un repositorio de Ubuntu? Yo no lo uso, pero launchpad.net/ubuntu/trusty/+source/openssl dice 14.04 'Trusty' debería tener 1.0.1f-1ubuntu2.16 que es upstream 1.0.1f más parches de seguridad (incluyendo el arreglo Heartbleed) siguiendo la política de Ubuntu (y Debian) de congelar la versión upstream y aplicar solo parches críticos. Si usa un paquete de Ubuntu openssl version muestra la versión y la fecha congeladas en el lanzamiento; la versión del parche solo se muestra por el nombre del paquete en dpkg o apt-cache. En cualquier caso 0.9.8-cualquier cosa está a salvo de Heartbleed. - dave_thompson_085


Respuestas:


De https://www.openssl.org/news/vulnerabilities.html

CVE-2014-0160 (aviso de OpenSSL) 7 de abril de 2014: A falta de límites   controlar el manejo de la extensión de latido TLS se puede utilizar para   revelan hasta 64kB de memoria a un cliente o servidor conectado (a.k.a.   Heartbleed). Este problema no afectó a las versiones de OpenSSL anteriores a   1.0.1. Reportado por Neel Mehta. Reparado en OpenSSL 1.0.1g (Afectado 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

Creo que esto es bastante claro.


8





Parece que su versión de 0.9.8 se parcheó después de la primera versión de 1.0.1, pero en realidad data del 5 de julio de 2005. Las versiones principales se desarrollarán aún más, pero su versión probablemente fue parchada para las vulnerabilidades de seguridad que se encontraron.

Para mayor claridad:

0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012

Su versión es bastante antigua y puede abrirse a Heartbleed, revisar y actualizar según sea necesario (.8zh es el último)


3



actualizó la pregunta - Edik Mkoyan
Tenga en cuenta que esto supone que .8zh contiene la corrección, que es no implícita en la declaración "OpenSSL 1.0.1g lanzado el 7 de abril de 2014 corrige el error", independientemente de las fechas. (En realidad, es casi seguro que se haya exportado, pero seamos precisos aquí). - RJFalconer
@RJFalconer La pregunta cambió radicalmente desde que respondí inicialmente. - Linef4ult
0.9.8 July 205?!? Eso es tan yo antiguo ¡software! - wizzwizz4
@RJFalconer & Linef: 0.9.8 y 1.0.0 nunca contenía el código de latido que tenía el error, por lo que nunca lo había hecho y aún no tiene la vulnerabilidad. 0.9.8 es de hecho hasta zh - y desde este mes oficialmente no soportado aguas arriba. Pero AFAICS no fue (y no es) compatible con Ubuntu 14.04 de todos modos. - dave_thompson_085