รวมเวอร์ชันของ OpenSSL บน Linux ที่มีปัญหาและที่อัพเดตแก้ไขบั๊ก Heartbleed แล้ว

By: Bongbank
Contributor iPhone Android Blackberry
on 11 April 2014 - 17:51 Tags:
Topics: 
Security
Heartbleed
Linux
Node Thumbnail

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox

ผมจึงได้รวบรวมข้อมูลเลขเวอร์ชันของ OpenSSL ที่มีปัญหา Heartbleed นี้ และเวอร์ชันที่ได้รับการ Bug Fix บนระบบปฏิบัติการ Linux Distribution ต่างๆ มาให้ เพื่อที่คนที่ทำหน้าที่ดูแลระบบเซิร์ฟเวอร์หรือระบบรักษาความปลอดภัยจะได้ตรวจสอบได้ว่าเครื่องเซิร์ฟเวอร์ที่ใช้อยู่มีความเสี่ยงหรือไม่

สำหรับ OpenSSL ที่มีปัญหา Heartbleed จะมีเลขเวอร์ชันดังต่อไปนี้

  • 1.0.1
  • 1.0.1a
  • 1.0.1b
  • 1.0.1c
  • 1.0.1d
  • 1.0.1e
  • 1.0.1f

REHL และ CentOS

เวอร์ชันที่มีปัญหาคือ RHEL 6, RHEL 6.5 และ CentOS 6.5 หากใครที่ไม่ได้อัพเดตหรือไม่ได้ติดตั้ง REHL/CentOS เวอร์ชันดังกล่าวก็จะไม่โดนปัญหา Heartbleed

รายชื่อ OpenSSL Package ที่อัพเดตเพื่อแก้ไขบั๊กตัวนี้แล้ว

  • openssl-1.0.1e-16.el6_5.7.i686.rpm
  • openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
  • openssl-perl-1.0.1e-16.el6_5.7.i686.rpm
  • openssl-static-1.0.1e-16.el6_5.7.i686.rpm
  • openssl-1.0.1e-16.el6_5.7.i686.rpm
  • openssl-1.0.1e-16.el6_5.7.x86_64.rpm
  • openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
  • openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
  • openssl-perl-1.0.1e-16.el6_5.7.x86_64.rpm
  • openssl-static-1.0.1e-16.el6_5.7.x86_64.rpm
  • openssl-1.0.1e-16.el6_5.7.src.rpm

Fedora

  • Fedora 19 : openssl-1.0.1e-37.fc19.1.x86_64.rpm
  • Fedora 20 : openssl-1.0.1e-37.fc20.1.x86_64.rpm

Debian

  • Squeeze (Debian 6) : ไม่ได้รับผลกระทบ เนื่องจากใช้ OpenSSL ล่าสุดที่ใช้คือเวอร์ชัน 0.9.8
  • Wheezy (Debian 7) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1e-2+deb7u5.
  • Jessie (Testing distribution) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1g-1.
  • Sid (Unstable distribution) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1g-1.

Ubuntu

ได้รับผลกระทบ 3 เวอร์ชัน หลักๆ คือ Ubuntu 13.10, Ubuntu 12.10 และ Ubuntu 12.04 LTS

  • Ubuntu 13.10 : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1e-3ubuntu1.2
  • Ubuntu 12.10 : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1c-3ubuntu2.7
  • Ubuntu 12.04 LTS : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1-4ubuntu5.12

เนื่องจากระบบปฏิบัติการ Linux Distro ต่างๆ นั้นจะมีการนับเลขเวอร์ชันของซอฟต์แวร์แตกต่างกันออกไป สำหรับปัญหาในเรื่องของความปลอดภัยนั้นจะใช้วิธีการ Backport Security Patch โดยใช้เลขเวอร์ชันชุดหน้าเหมือนเดิม แต่มีการเพิ่มเลขเข้าไปด้านหลังแทน ยกตัวอย่างเช่น OpenSSL เวอร์ชันล่าสุดของ CentOS 6 คือ 1.0.1e- 16ซึ่งถือว่าเป็นเวอร์ชันล่าสุด เทียบเท่าได้กับ OpenSSL 1.0.1g ที่ทีมงานของ OpenSSL ได้แก้ไขบั๊ก Heartbleed นี้แล้ว

** และหลังจากอัพเดตซอฟต์แวร์ OpenSSL เป็นเวอร์ชันล่าสุดที่แก้ไขปัญหาบั๊ก Heartbleed เรียบร้อยแล้ว อย่าลืมที่จะ Restart Service ต่างๆที่มีการเรียกใช้งาน OpenSSL Library กันด้วยนะครับ ยกตัวอย่างเช่น httpd, lighttpd, nginx, postfix เป็นต้น

ที่มา

Get latest news from Blognone

Comments

By: nuntawat
Writer Android WindowsIn Love
on 11 April 2014 - 20:31 #694771
nuntawat's picture
  • อัพเดท -> อัพเดต; เวอร์ชั่น -> เวอร์ชัน
  • Bug Fix, Restart, Distro เขียนเป็นภาษาไทยได้
  • Service, Library สะกดด้วยตัวพิมพ์เล็กทั้งหมด
  • หลังไม้ยมกเว้นหนึ่งเคาะ
By: Chengings
Contributor
on 11 April 2014 - 20:51 #694774
Chengings's picture

Ubuntu 12.04 มันก็ขึ้น 1.0.1 เหมือนเดิน ต้องรันคำสั่ง

openssl version -a

ถ้า built on เป็น April 7, 2014 ก็รอดแล้ว ถ้าไม่ใช่ก็อัปเดตด่วนเลย

หมาไฟ

By: NUTKABPOM
Android WindowsIn Love
on 13 April 2014 - 08:50 #694933 Reply to:694774

OpenSSL 1.0.1 14 Mar 2012built on: Mon Apr 7 20:31:55 UTC 2014

รอดแบบงงๆ xD

By: FulcronZ
Android Ubuntu
on 13 April 2014 - 13:43 #694981

REHL -> RHEL ครับ Red Hat Enterprise Linuxผมพิมพ์เองก็เบลอๆ เหมือนกันคำนี้