मैं GNU / Linux और अन्य प्रणालियों पर OpenSSL संस्करण की जांच करने के लिए एक विश्वसनीय और पोर्टेबल तरीके से देख रहा था, इसलिए उपयोगकर्ता आसानी से पता लगा सकते हैं कि हार्टब्लड बग के कारण उन्हें अपना एसएसएल अपग्रेड करना चाहिए या नहीं।
मैंने सोचा था कि यह आसान होगा, लेकिन मैं जल्दी से Ubuntu 12.04 LTS पर नवीनतम OpenSSL 1.0.1g के साथ एक समस्या में भाग गया:
खुलता है संस्करण -a
मैं एक पूर्ण संस्करण देखने की उम्मीद कर रहा था, लेकिन इसके बजाय मुझे यह मिला:
ओपनएसएसएल 1.0.1 14 मार्च 2012 पर निर्मित: मंगल जून 4 07:26:06 यूटीसी 2013 मंच: [...]
मेरे अप्रिय आश्चर्य के लिए, संस्करण पत्र नहीं दिखा। कोई f नहीं, कोई g नहीं है, बस "1.0.1" है और वह है। सूचीबद्ध तिथियां (गैर) असुरक्षित संस्करण की खोज में सहायता नहीं करती हैं।
1.0.1 (af) और 1.0.1g के बीच अंतर महत्वपूर्ण है।
प्रशन:
- संस्करण की जांच करने का एक विश्वसनीय तरीका क्या है, अधिमानतः डिस्ट्रो पार?
- संस्करण पत्र पहली जगह में क्यों नहीं दिख रहा है? मैं इसे किसी और चीज़ पर परीक्षण करने में असमर्थ था, लेकिन उबंटू 12.04 एलटीएस।
अन्य इस व्यवहार को भी रिपोर्ट कर रहे हैं। कुछ उदाहरण:
- https://twitter.com/orblivion/status/453323034955223040
- https://twitter.com/axiomsofchoice/status/453309436816535554
कुछ (विशिष्ट-विशिष्ट) सुझाव इसमें शामिल हैं:
- उबंटू और डेबियन:
apt-cache policy openssl
औरapt-cache policy libssl1.0.0
। यहां संस्करण संख्याओं की तुलना संकुल से करें: http://www.ubuntu.com/usn/usn-2165-1/ - फेडोरा 20:
yum info openssl
(ट्विटर पर @znmeb धन्यवाद) औरyum info openssl-libs
यदि OpenSSL का पुराना संस्करण अभी भी निवासी है, तो यह देखना:
- यह पूरी तरह से विश्वसनीय नहीं है, लेकिन आप कोशिश कर सकते हैं
lsof -n | grep ssl | grep DEL
। हार्टलेस देखें : ओपनएसएसएल संस्करण को मज़बूती से और आंशिक रूप से कैसे जांचें? यह आपके लिए काम क्यों नहीं हो सकता है।
यह पता चला है कि उबंटू और डेबियन पर ओपनएसएसएल पैकेज को अपडेट करना हमेशा पर्याप्त नहीं होता है। यदि आप openssl version -a
इंगित करते हैं तो आपको libssl1.0.0 पैकेज और -थेन को भी अपडेट करना चाहिए built on: Mon Apr 7 20:33:29 UTC 2014
।
[root@null~]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013
apt-cache policy openssl
और इसने इस पर प्रतिक्रिया दी है: Installed: 1.0.1-4ubuntu5.12
जो केवल 12.04 LTS के लिए उबंटू द्वारा जारी किया गया है। मैंने लॉग आउट किया और वापस लौटा। क्या मैं सत्यापित करने के लिए कुछ और कर सकता हूं?