จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox
ผมจึงได้รวบรวมข้อมูลเลขเวอร์ชันของ OpenSSL ที่มีปัญหา Heartbleed นี้ และเวอร์ชันที่ได้รับการ Bug Fix บนระบบปฏิบัติการ Linux Distribution ต่างๆ มาให้ เพื่อที่คนที่ทำหน้าที่ดูแลระบบเซิร์ฟเวอร์หรือระบบรักษาความปลอดภัยจะได้ตรวจสอบได้ว่าเครื่องเซิร์ฟเวอร์ที่ใช้อยู่มีความเสี่ยงหรือไม่
สำหรับ OpenSSL ที่มีปัญหา Heartbleed จะมีเลขเวอร์ชันดังต่อไปนี้
- 1.0.1
- 1.0.1a
- 1.0.1b
- 1.0.1c
- 1.0.1d
- 1.0.1e
- 1.0.1f
REHL และ CentOS
เวอร์ชันที่มีปัญหาคือ RHEL 6, RHEL 6.5 และ CentOS 6.5 หากใครที่ไม่ได้อัพเดตหรือไม่ได้ติดตั้ง REHL/CentOS เวอร์ชันดังกล่าวก็จะไม่โดนปัญหา Heartbleed
รายชื่อ OpenSSL Package ที่อัพเดตเพื่อแก้ไขบั๊กตัวนี้แล้ว
- openssl-1.0.1e-16.el6_5.7.i686.rpm
- openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
- openssl-perl-1.0.1e-16.el6_5.7.i686.rpm
- openssl-static-1.0.1e-16.el6_5.7.i686.rpm
- openssl-1.0.1e-16.el6_5.7.i686.rpm
- openssl-1.0.1e-16.el6_5.7.x86_64.rpm
- openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
- openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
- openssl-perl-1.0.1e-16.el6_5.7.x86_64.rpm
- openssl-static-1.0.1e-16.el6_5.7.x86_64.rpm
- openssl-1.0.1e-16.el6_5.7.src.rpm
Fedora
- Fedora 19 : openssl-1.0.1e-37.fc19.1.x86_64.rpm
- Fedora 20 : openssl-1.0.1e-37.fc20.1.x86_64.rpm
Debian
- Squeeze (Debian 6) : ไม่ได้รับผลกระทบ เนื่องจากใช้ OpenSSL ล่าสุดที่ใช้คือเวอร์ชัน 0.9.8
- Wheezy (Debian 7) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1e-2+deb7u5.
- Jessie (Testing distribution) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1g-1.
- Sid (Unstable distribution) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1g-1.
Ubuntu
ได้รับผลกระทบ 3 เวอร์ชัน หลักๆ คือ Ubuntu 13.10, Ubuntu 12.10 และ Ubuntu 12.04 LTS
- Ubuntu 13.10 : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1e-3ubuntu1.2
- Ubuntu 12.10 : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1c-3ubuntu2.7
- Ubuntu 12.04 LTS : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1-4ubuntu5.12
เนื่องจากระบบปฏิบัติการ Linux Distro ต่างๆ นั้นจะมีการนับเลขเวอร์ชันของซอฟต์แวร์แตกต่างกันออกไป สำหรับปัญหาในเรื่องของความปลอดภัยนั้นจะใช้วิธีการ Backport Security Patch โดยใช้เลขเวอร์ชันชุดหน้าเหมือนเดิม แต่มีการเพิ่มเลขเข้าไปด้านหลังแทน ยกตัวอย่างเช่น OpenSSL เวอร์ชันล่าสุดของ CentOS 6 คือ 1.0.1e-16 ซึ่งถือว่าเป็นเวอร์ชันล่าสุด เทียบเท่าได้กับ OpenSSL 1.0.1g ที่ทีมงานของ OpenSSL ได้แก้ไขบั๊ก Heartbleed นี้แล้ว
** และหลังจากอัพเดตซอฟต์แวร์ OpenSSL เป็นเวอร์ชันล่าสุดที่แก้ไขปัญหาบั๊ก Heartbleed เรียบร้อยแล้ว อย่าลืมที่จะ Restart Service ต่างๆที่มีการเรียกใช้งาน OpenSSL Library กันด้วยนะครับ ยกตัวอย่างเช่น httpd, lighttpd, nginx, postfix เป็นต้น
ที่มา
อัพเดท -> อัพเดต; เวอร์ชั่น
nuntawat Fri, 11/04/2014 - 20:31
Ubuntu 12.04 มันก็ขึ้น 1.0.1
Chengings Fri, 11/04/2014 - 20:51
Ubuntu 12.04 มันก็ขึ้น 1.0.1 เหมือนเดิน ต้องรันคำสั่ง
ถ้า built on เป็น April 7, 2014 ก็รอดแล้ว ถ้าไม่ใช่ก็อัปเดตด่วนเลย
OpenSSL 1.0.1 14 Mar
NUTKABPOM Sun, 13/04/2014 - 08:50
In reply to Ubuntu 12.04 มันก็ขึ้น 1.0.1 by Chengings
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr 7 20:31:55 UTC 2014
รอดแบบงงๆ xD
REHL -> RHEL ครับ Red Hat
FulcronZ Sun, 13/04/2014 - 13:43
REHL -> RHEL ครับ Red Hat Enterprise Linux
ผมพิมพ์เองก็เบลอๆ เหมือนกันคำนี้