Как мне обновить OpenSSL на Raspbian

29

Похоже, что Raspbian еще не обновлен для устранения ошибки Heartbleed . sudo apt-get updateзатем sudo apt-get upgradeничего не обновляет (это система, которая была недавно обновлена ​​вчера, так что в противном случае она полностью обновлена).

Когда я это делаю, sudo apt-get install opensslон говорит мне, что установлена ​​последняя версия, а openssl versionговорит, что 1.0.1e все еще установлен. Первая не уязвимая версия OpenSSL - 1.0.1g, так как мне обновиться до этого?

Джейми Булл
источник
2
Я только что проверил свою версию OpenSSl от raspbian, и она использует 0.9.8, который не уязвим в соответствии с heartbleed.com

Ответы:

26

Основной уязвимый пакет libssl1.0.0, который, если вы можете, просто замените исправленной версией, перезапустите все. Вы можете попробовать загрузить бинарный файл и вручную установить arm-hf, используя dpkgверсию 1.0.1e-2+deb7u5для wheezy.

Вы также можете использовать jessieрепозиторий, только для этого единственного обновления, которое должно получить вашу версию 1.0.1g-1.

После установки и перезагрузки настоятельно рекомендуется отозвать все ключи и сертификаты и восстановить все заново, используя новые пароли и векторы.


По состоянию на 04/04/2014 основной репозиторий wheezy использует исправленную версию 1.0.1e-2+deb7u5 и, как прокомментировано, вы можете получить ее так:

> sudo apt-get update 
> sudo apt-get upgrade

Который обновит следующие пакеты:

libssl1.0.0 openssh-client openssh-server openssl ssh


* Вот как можно выборочно обновить определенные пакеты, используя репозиторий jessie, без полного отключения wheezy, и установить последнюю gверсию

Добавьте следующие две строки в /etc/apt/sources.list

deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rpi
deb http://archive.raspbian.org/raspbian jessie main contrib non-free rpi

Затем вы редактируете файл /etc/apt/preferences(создаете файл, если он не существует), чтобы сообщить apt, в каких репозиториях он должен искать обновление. Мы ставим jessie на низкий уровень, чтобы при использовании apt-get update он игнорировал jessieи использовал wheezyrepo. Это важно для шага после этого.

Package: *
Pin: release n=wheezy
Pin-Priority: 900

Package: *
Pin: release n=jessie
Pin-Priority: 300

Package: *
Pin: release o=Raspbian
Pin-Priority: -10

Теперь, по вашему желанию, вы можете сказать apt использовать jessieвместо этого.

apt-get update
apt-get -t jessie install openssl libssl1.0.0 openssh-client openssh-server ssh

* Выдержка из главы 6, Основы Raspberry Pi Server.


Петр Кула
источник
1
Можете ли вы показать, как использовать jessieхранилище только для одного обновления?
HeatfanJohn
1
Спасибо что подметил это. Хостинговая компания отключила мой сайт несколько месяцев назад, и мой провайдер заблокировал доступ к сайту, поэтому я не проверял его некоторое время. Я использовал Google для просмотра кэшированного контента, и на самом деле это выглядит подозрительно. Еще раз спасибо. Ваша книга выглядит великолепно, я просмотрел ее на Амазоне.
HeatfanJohn
3
Это было исправлено прямо сейчас, и я обновил raspberry pi обычными репозиториями.
Габрин
1
Да, это в текущих обновлениях:> sudo apt-get update> sudo apt-get upgrade Будут обновлены следующие пакеты: libssl1.0.0 openssh-client openssh-server openssl ssh
keithl8041
2
В моем случае последняя версия есть 1.0.1e-2+rvt+deb7u6. Я не уверен, что это за rvtпорция, но deb7u6указывает на то, что это хорошо. (Помогите с поиском.)
хорошо относитесь к своим модам