Comment vérifier quelle version d'OpenSSL est utilisée par Apache sur Ubuntu 12.04

14

J'ai installé Ubuntu12.04 sur ma machine et il a obtenu la version heartBleed d'OpenSSL 1.0.1. J'ai donc désinstallé OpenSSL 1.0.1 et installé la nouvelle version 1.0.1g en référant ce lien.

Maintenant, je veux confirmer que "Apache 2.2.22" disponible sur Ubuntu 12.04 utilise la version 1.0.1g et non 1.0.1 d'OpenSSL. Comment vais-je confirmer cela?

Bhushan Kawadkar
la source

Réponses:

22
$ apt-cache policy openssl
openssl: Installed: xxx

" Installé: xxx " montre la version actuellement installée de openssl. Heartbleed est corrigé dans les versions de package suivantes (ou ultérieures):

Ubuntu 13.10: libssl1.0.0 1.0.1e-3ubuntu1.2

Ubuntu 12.10: libssl1.0.0 1.0.1c-3ubuntu2.7

Ubuntu 12.04 LTS: libssl1.0.0 1.0.1-4ubuntu5.12

Si la version de votre package installé est inférieure à celles-ci, votre système est vulnérable à Heartbleed.

bain
la source
Merci pour la réponse. Cela garantira-t-il que l'Apache que j'utilise (qui est disponible sur Ubuntu) utilise OpenSSL1.0.1g mis à niveau? Je peux voir Installed: 1.0.1-4ubuntu5.16sur ma machine maintenant.
Bhushan Kawadkar
Oui. Assurez-vous que vous effectuez des mises à jour de sécurité régulières - heartbleed n'est pas la seule vulnérabilité de sécurité à affecter 12.04.
bain
D'accord, super :). Quelles sont les autres vulnérabilités de sécurité affectant 12.04, pouvez-vous partager un lien ou un document? Merci beaucoup :)
Bhushan Kawadkar
2
Ici: Avis de sécurité d'Ubuntu 12.04 Notez que ce n'est que la première page, si vous faites défiler vers le bas, vous verrez que (à partir de juillet 2014) il y a 12 pages de vulnérabilités dans 12.04 . Tout le monde devrait faire des mises à jour de sécurité régulières.
bain