Ubuntu 12.04LTS dispose-t-il de la correction audacieuse OpenSSL?

Seul OpenSSL 1.0.1f ou version ultérieure a la solution correcte pour l'exploit réticent. Donc, Ubuntu 12.04LTS a-t-il la solution? Nous devons utiliser 12.04LTS pour des raisons auxquelles je ne vais pas entrer, et nous ne pouvons pas mettre à niveau.

Selon cette page, il utilise OpenSSL "1.0.1" (sans lettre à la fin du numéro de version): http://packages.ubuntu.com/precise/libssl-dev

Il a ce lien de file sur le côté droit … [openssl_1.0.1.orig.tar.gz]

Est-ce que le file .orig peut nous en informer quelque chose?

Est-ce que quelqu'un sait s'il y avait effectivement une version "1.0.1" d'OpenSSL, ou si quelqu'un a simplement coupé la lettre?

La version réelle de la version OpenSSL affectée dans Ubuntu 12.04LTS est 1.0.1-4ubuntu5.11 et la version actuelle est 1.0.1-4ubuntu5.21 (le numéro à la fin importe ici). Il a été corrigé à plusieurs resockets depuis et ne devrait pas être affecté par des bugs sensibles.

Voici un lien à partir duquel vous pouvez voir les numéros de version affectés dans différentes dissortingbutions: http://heartbleed.com/

Juste au cas où cela est également changelog pour OpenSSL dans Ubuntu 12.04LTS: http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.21/changelog

La correction pour le coeur est mentionnée pour 1.0.1-4ubuntu5.12, donc quelques versions.

Une façon de savoir cela est de jeter un coup d'oeil aux avis de security Ubuntu (USN) qui sont diffusés chaque fois qu'une vulnérabilité est résolue dans Ubuntu. Dans ce cas, la publication du package dans lequel il est fixé est écrite.

Par exemple, pour le coeur, l'USN était l'USN-2165-1 ( http://www.ubuntu.com/usn/usn-2165-1/ ) qui déclare qu'il a été corrigé dans 1.0.1-4ubuntu5.12 pour Ubuntu 12.04LTS.

Il est possible de s'abonner à ces USN par courrier électronique, grâce à la list de diffusion Ubuntu-Security-Announce: https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce

À votre santé,