Comment mettre à jour OpenSSL sur Raspbian

29

Il semble que Raspbian n'ait pas encore été mis à jour pour faire face au bogue Heartbleed . sudo apt-get updatealors sudo apt-get upgradene met rien à jour (c'est un système qui a été fraîchement mis à jour hier donc tout est à jour sinon).

Quand je le fais, sudo apt-get install opensslil me dit que la dernière version est installée, tandis que openssl versionme dit que 1.0.1e est toujours installé. La première version non vulnérable d'OpenSSL est 1.0.1g, alors comment puis-je mettre à jour cela?

raspbian security update Jamie Bull
la source
2
Je viens de vérifier ma version OpenSSl de raspbian et elle utilise 0.9.8 qui n'est pas vulnérable selon heartbleed.com

Réponses:

26

Le package principal affecté est libssl1.0.0, qui si vous le pouvez, remplacez-le simplement par la version corrigée, redémarrez tout. Vous pouvez essayer de télécharger un binaire et installer manuellement un arm-hf, en utilisant dpkgla version 1.0.1e-2+deb7u5pour Wheezy.

Vous pouvez également utiliser le jessieréférentiel, juste pour cette mise à jour unique, qui devrait vous procurer la version 1.0.1g-1.

Après l'installation et le redémarrage, il est fortement recommandé de révoquer toutes les clés et tous les certificats et de tout régénérer à partir de zéro, en utilisant de nouveaux mots de passe et vecteurs.

Depuis le 09/04/2014, le référentiel Wheezy principal utilise la version corrigée 1.0.1e-2+deb7u5 et comme commenté, vous pouvez l'obtenir comme ceci:

> sudo apt-get update 
> sudo apt-get upgrade

Qui mettra à jour les packages suivants:

libssl1.0.0 openssh-client openssh-server openssl ssh

* Voici comment mettre à niveau de manière sélective certains packages à l'aide du référentiel Jessie, sans casser complètement la respiration sifflante, et installer la dernière gversion

Ajoutez les deux lignes suivantes dans /etc/apt/sources.list

deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rpi
deb http://archive.raspbian.org/raspbian jessie main contrib non-free rpi

Vous modifiez ensuite le fichier /etc/apt/preferences(créez le fichier s'il n'existe pas) pour indiquer à apt dans quels référentiels il doit chercher pour effectuer une mise à jour. Nous mettons jessie sur une faible priorité afin que lorsque vous utilisez la mise à jour apt-get, il ignore jessieet utilise à la wheezyplace le repo. Ceci est important pour l'étape suivante.

Package: *
Pin: release n=wheezy
Pin-Priority: 900

Package: *
Pin: release n=jessie
Pin-Priority: 300

Package: *
Pin: release o=Raspbian
Pin-Priority: -10

Maintenant, à votre libre arbitre, vous pouvez dire apt à utiliser à la jessieplace.

apt-get update
apt-get -t jessie install openssl libssl1.0.0 openssh-client openssh-server ssh

* Un extrait du chapitre 6, Raspberry Pi Server Essentials.

Piotr Kula
la source
1
Pouvez-vous montrer comment utiliser le jessieréférentiel pour une seule mise à jour?
HeatfanJohn
1
Merci d'avoir fait remarquer cela. L'hébergeur a désactivé mon site il y a quelques mois et mon FAI bloque l'accès au site, je ne l'avais donc pas vérifié depuis un certain temps. J'ai utilisé Google pour afficher le contenu mis en cache et en effet il semble suspect. Merci encore. Votre livre a fière allure, je l'ai prévisualisé sur Amazon.
HeatfanJohn
3
Cela a été corrigé en ce moment, et j'ai mis à jour le raspberry pi avec les référentiels normaux.
gabrign
1
Oui, c'est dans les mises à jour actuelles:> sudo apt-get update> sudo apt-get upgrade Les packages suivants seront mis à jour: libssl1.0.0 openssh-client openssh-server openssl ssh
keithl8041
2
Dans mon cas, la dernière version est 1.0.1e-2+rvt+deb7u6. Je ne sais pas quelle est la rvtportion, mais deb7u6cela m'indique que c'est bon. (Publication pour aider avec les recherches.)
traitez bien vos mods