マシンにUbuntu12.04をインストールしましたが、OpenSSL 1.0.1のheartBleedバージョンを取得しました。そこで、OpenSSL 1.0.1をアンインストールし、このリンクを参照して新しい1.0.1gバージョンをインストールしました。
ここで、Ubuntu 12.04で利用可能な「Apache 2.2.22」が1.0.1バージョンのOpenSSLではなく1.0.1gを使用していることを確認します。これをどのように確認しますか?
マシンにUbuntu12.04をインストールしましたが、OpenSSL 1.0.1のheartBleedバージョンを取得しました。そこで、OpenSSL 1.0.1をアンインストールし、このリンクを参照して新しい1.0.1gバージョンをインストールしました。
ここで、Ubuntu 12.04で利用可能な「Apache 2.2.22」が1.0.1バージョンのOpenSSLではなく1.0.1gを使用していることを確認します。これをどのように確認しますか?
回答:
$ apt-cache policy openssl
openssl: Installed: xxx
「インストール済み:xxx」には、現在インストールされているopensslのバージョンが表示されます。Heartbleedは、次のパッケージバージョン(またはそれ以降)で修正されています。
Ubuntu 13.10: libssl1.0.0 1.0.1e-3ubuntu1.2
Ubuntu 12.10: libssl1.0.0 1.0.1c-3ubuntu2.7
Ubuntu 12.04 LTS: libssl1.0.0 1.0.1-4ubuntu5.12
インストールされているパッケージのバージョンがこれらよりも低い場合、システムはHeartbleedに対して脆弱です。
Installed: 1.0.1-4ubuntu5.16
今、私のマシンで見ることができます。