Se http://filippo.io/Heartbleed/
Jag testade DFRIPi TORnoderna (Raspberry Pi) och de har sårbarheten.
Mvh
nrz
On Thu, Apr 10, 2014 at 11:47 AM, Non Return Zero non.return.zero@gmail.com wrote:
Se http://filippo.io/Heartbleed/
Jag testade DFRIPi TORnoderna (Raspberry Pi) och de har sårbarheten.
Uppgradera till OpenSSL 1.0.1g omgående.
-- Per
Mvh
nrz
Det räcker att köra vanliga apt-get update och apt-get upgrade, så har distrot en egen patchad openssl utan sårbarheten. Sannolikt har de bara stängt av heartbeat där sårbarheten finns. Jag har uppdaterat mina servrar och privata linuxdatorer, varken Ubuntu eller OpenSUSE har valt att skicka ut openssl 1.0.1g utan istället patchat sina egna äldre versioner av openssl.
Om DFRI inte redan har ordnat det så kan jag rekommendera att installera "unattended upgrades" plus att se till att det skickar ett meddelande när severn behöver startas om.
MVH, David Den 10 apr 2014 12:27 skrev "Per Andersson" avtobiff@gmail.com:
On Thu, Apr 10, 2014 at 11:47 AM, Non Return Zero non.return.zero@gmail.com wrote:
Se http://filippo.io/Heartbleed/
Jag testade DFRIPi TORnoderna (Raspberry Pi) och de har sårbarheten.
Uppgradera till OpenSSL 1.0.1g omgående.
-- Per
Mvh
nrz
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. http://dir.gmane.org/gmane.org.user-groups.dfri
2014-04-10 14:12 GMT+02:00 David Kronlid david@kronlid.net:
Det räcker att köra vanliga apt-get update och apt-get upgrade, så har distrot en egen patchad openssl utan sårbarheten. Sannolikt har de bara stängt av heartbeat där sårbarheten finns.
Sannolikt är att om de kör Raspbian att det installeras från ett normalt Debian-arkiv och då gäller
https://www.debian.org/security/2014/dsa-2896
För wheezy är det då en patchad 1.0.1e som är aktuell. Patchen som finns i Debian stänger inte av TLS/DTLS Heartbeat Extension utan inkluderar fixen från OpenSSL upstream.
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db9023b881d7cd...
Det fanns tyvärr inget lätt sätt att surfa fram changelogs eller patchar på internet, utan en får kolla i källpaketet.
Jag har uppdaterat mina servrar och privata linuxdatorer, varken Ubuntu eller OpenSUSE har valt att skicka ut openssl 1.0.1g utan istället patchat sina egna äldre versioner av openssl.
Om DFRI inte redan har ordnat det så kan jag rekommendera att installera "unattended upgrades" plus att se till att det skickar ett meddelande när severn behöver startas om.
Låter farligt imho. Vissa saker är bra att göra med handpåläggning.
-- Per
MVH, David
Den 10 apr 2014 12:27 skrev "Per Andersson" avtobiff@gmail.com:
On Thu, Apr 10, 2014 at 11:47 AM, Non Return Zero non.return.zero@gmail.com wrote:
Se http://filippo.io/Heartbleed/
Jag testade DFRIPi TORnoderna (Raspberry Pi) och de har sårbarheten.
Uppgradera till OpenSSL 1.0.1g omgående.
-- Per
Mvh
nrz
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. http://dir.gmane.org/gmane.org.user-groups.dfri
-
David Kronlid -
Non Return Zero -
Per Andersson