[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] OpenSSL har allvarlig säkerhetslucka, Heartblead



2014-04-10 14:12 GMT+02:00 David Kronlid <david@xxxxxxxxxxx>:
> Det räcker att köra vanliga apt-get update och apt-get upgrade, så har
> distrot en egen patchad openssl utan sårbarheten. Sannolikt har de bara
> stängt av heartbeat där sårbarheten finns.

Sannolikt är att om de kör Raspbian att det installeras från ett normalt
Debian-arkiv och då gäller

    https://www.debian.org/security/2014/dsa-2896

För wheezy är det då en patchad 1.0.1e som är aktuell. Patchen som
finns i Debian stänger inte av TLS/DTLS Heartbeat Extension utan
inkluderar fixen från OpenSSL upstream.

    http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db9023b881d7cd9f379b0c154650d6c108e9a3

Det fanns tyvärr inget lätt sätt att surfa fram changelogs eller patchar på
internet, utan en får kolla i källpaketet.


> Jag har uppdaterat mina servrar och privata linuxdatorer, varken Ubuntu
> eller OpenSUSE har valt att skicka ut openssl 1.0.1g utan istället patchat
> sina egna äldre versioner av openssl.
>
> Om DFRI inte redan har ordnat det så kan jag rekommendera att installera
> "unattended upgrades" plus att se till att det skickar ett meddelande när
> severn behöver startas om.

Låter farligt imho. Vissa saker är bra att göra med handpåläggning.


--
Per


> MVH, David
>
> Den 10 apr 2014 12:27 skrev "Per Andersson" <avtobiff@xxxxxxxxx>:
>>
>> On Thu, Apr 10, 2014 at 11:47 AM, Non Return Zero
>> <non.return.zero@xxxxxxxxx> wrote:
>> > Se http://filippo.io/Heartbleed/
>> >
>> > Jag testade DFRIPi TORnoderna (Raspberry Pi) och de har sårbarheten.
>>
>> Uppgradera till OpenSSL 1.0.1g omgående.
>>
>>
>> --
>> Per
>>
>>
>> > Mvh
>> >
>> > nrz
>>
>> --
>> DFRI-listan är öppen för alla.
>> Listan arkiveras och publiceras öppet på internet.
>> http://dir.gmane.org/gmane.org.user-groups.dfri
>>
>

--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
http://dir.gmane.org/gmane.org.user-groups.dfri