为什么ssh(d)似乎使用OpenSSL Heartbleed版本?

Tik0

众所周知,Heartbleed错误存在于OpenSSL版本1.0.1至1.0.1f(包括1.0.1)中。那么为什么要在存在错误的地方(12.04-> OpenSSL 1.0.1,14.04-> OpenSSL 1.0.1f)sshsshd使用OpenSSL 1.0.1进行编译?libssl.so是当然了最新的,但如果我跑

ldd `which ssh`
# or
ldd `which sshd`

没有链接到OpenSSL的未损坏版本。但是如果我跑步

sshd -V
# Under Ubuntu 12.04 it says:
OpenSSH_5.9p1 Debian-5ubuntu1.4, OpenSSL 1.0.1 14 Mar 2012
# Under Ubuntu 14.04 it says:
OpenSSH_6.6.1p1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f 6 Jan 2014

他们明确地说,它们是使用损坏的版本进行编译的。https://launchpad.net/ubuntu/+source/openssh上,没有提及心跳错误发布期间的任何更新。

因此,我如何确定sshd没有使用受影响的OpenSSL版本。如果不使用它,为什么他们要明确地说,他们使用了受影响的版本?

迈克·斯科特

Heartbleed仅影响SSL / TLS连接,而不影响OpenSSL库中的每个加密函数,并且sshd根本不使用SSL / TLS,因此即使Heartbleed是使用受影响的OpenSSL版本进行编译的,它也不受Heartbleed的影响。请参阅此问题和答案

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

Heartbleed OpenSSL升级问题

如何从OpenSSL的Heartbleed错误中恢复?

Heartbleed是否会影响ssh密钥?

修复Heartbleed时如何使用Internet?

为什么indexedDB使用“版本”?

如何修补OpenSSL中的Heartbleed错误(CVE-2014-0160)?

Heartbleed Bug,哪些OpenSSL服务容易受到泄漏的影响?

在Ubuntu 10.04.4 LTS上升级openssl-Heartbleed

OpenSSL_Random_Psuedo_Bytes:是否受到Heartbleed的影响?

哪些版本的Windows TLS / SSL文件传输软件(例如WinSCP和FileZilla)不受Heartbleed的影响?

为什么`stack --version` 似乎显示的版本与安装的版本不同?

使用APR和OpenSSL解决Tomcat上的Heartbleed问题。编译错误

为什么“ apt-get install openssl”没有安装最新版本的OpenSSL?

为什么SSH似乎挂起

Heartbleed错误:为什么在交付有效负载之前甚至可以处理心跳请求?

为什么很少使用奇怪版本的 Ubuntu?

使用ifdef确定OpenSSL版本

编译器似乎使一个重载方法的两个版本混淆。为什么?

OpenSSL中的Heartbleed Bug是否会影响所有SSL证书

Heartbleed OpenSSL错误会破坏Debian和RedHat样式的存储库吗?

为什么并行版本较慢?

为什么Ubuntu 14.04 LTS使用非LTS内核版本?

为什么我不能使用低版本的buildTools?

为什么使用sudo运行其他版本?

为什么有这么多python版本在使用?

为什么我的函数的无点版本使用更多的内存

为什么 --> “ListPopupWindow:无法调用 getMaxAvailableHeightMethod.... 使用公共版本”?

为什么要使用pip安装旧版本的sktime?

为什么我坚持使用某个版本的软件包?