debian 32 bit

1.0.1g есть только в тестинге и сиде

набирал уже apt-get upgrade и потом apt-get update ну что-то обновилось

Нужно быть более внимательным.

ну результат так и не изменился в filippo.io/Heartbleed/

Во-первых нужно перезагрузить систему.

Перезагружать систему не нужно, достаточно перезапустить те демоны, которые используют openssl.

https://www.debian.org/security/2014/dsa-2896

Ему так будет проще :D

И что? Там же у тебя:

https://www.debian.org/security/2014/dsa-2896
Предыдущий стабильный выпуске (squeeze) не подвержен данной уязвимости.
В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.0.1e-2+deb7u5.
В тестируемом выпуске (jessie) эта проблема была исправлена в версии 1.0.1g-1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.0.1g-1.

Проще тут посмотреть — https://packages.debian.org/search?keywords=openssl&searchon=names&su...

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.0.1e-2+deb7u5.

была исправлена в версии 1.0.1e-2+deb7u5.

1.0.1e-2+deb7u5.

вопрос как обновиться до версии 1 0 1g

ТС

Вот в этом случае умный путь — не «проще», а «правильно». А правильно не перезагружать всё подряд, это не винда.

А тем временем (на 09.04.2014) в 14.04 еще только:

$ apt-cache show openssl
Package: openssl
Priority: standard
Section: utils
Installed-Size: 906
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Version: 1.0.1f-1ubuntu2
...

вот скрипт на дебиан, я сегодня обновил нормально безе перезагрузки сервер.

https://gist.github.com/jacksoncage/10104261

а у меня debian 6 , не debian 7 :(

и как файл нужно подписывать в видео скрипта? пример покажите если вставлю этот код

# Debian Wheezy - Fixing HeartBleed
# Installing 1.0.1e-2+deb7u4
# http://www.corsac.net/?rub=blog&post=1565
# https://security-tracker.debian.org/tracker/DSA-2896-1
#
# As pointed out, not the best secured way but fast. Please use 'apt-get && apt-get upgrade' for a more secure system.
 
MACHINE_TYPE=`uname -m`
if [ ${MACHINE_TYPE} == 'x86_64' ]; then
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb
dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb
else
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_i386.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_i386.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_i386.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_i386.deb
 
dpkg -i openssl_1.0.1e-2+deb7u5_i386.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_i386.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_i386.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_i386.deb
fi
 
/etc/init.d/nginx restart
/etc/init.d/ssh restart

Вот не надо, openssl дня 2-3 назад обновлялся, видимо патченный.

так расскажи как обновился? мне вот неизвестно на debian 6 как обновится :( , а в инете нечего нету

Зачем тебе обновляться? Ради буквы или дыры? Дистрибутив ты так и не озвучил.

ради дырок чтобы не было, пишет это в версии opensll

OpenSSH_5.5p1 Debian-6+squeeze5, OpenSSL 0.9.8o 01 Jun 2010

Свои темы не читаешь?

как обновить openssl (комментарий)
как обновить openssl (комментарий)

видимо патченный.

Надеюсь. Но я за что купил за то и продаю.

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu Trusty Tahr (development branch)
Release:        14.04
Codename:       trusty

$ date
Чтв Апр 10 01:34:39 EEST 2014

$ sudo apt-get update >/dev/null && apt-cache show openssl
Package: openssl
Priority: standard
Section: utils
Installed-Size: 906
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Version: 1.0.1f-1ubuntu2
Depends: libc6 (>= 2.15), libssl1.0.0 (>= 1.0.1)
Suggests: ca-certificates
Filename: pool/main/o/openssl/openssl_1.0.1f-1ubuntu2_amd64.deb
... пропущено ...
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu
Supported: 5y
Task: standard, kubuntu-active, kubuntu-active, mythbuntu-frontend, mythbuntu-frontend, mythbuntu-desktop, mythbuntu-backend-slave, mythbuntu-backend-slave, mythbuntu-backend-master, mythbuntu-backend-master

читаю, ну пойми я не лазию в этих ssh только захожу чтобы сервер вкл и все. НЕ мог бы так рассказать? там даже установки нету подобной что нужно куда кидать. Не мог бы своими словами рассказать пожалуйста?

йолки палки.

Сделать apt-get update, потом создать файл lalka.sh и в него записать текст скрипта. потом сделать

chmod +x lalka.sh

./lalka.sh

После этого apt-get -f install

вписать в окошко службы для рестарта и нажать ентер.

спасибо большое. Все сделал по твоему описанию и все-ровно почему-то выдает OpenSSH_5.5p1 Debian-6+squeeze5, OpenSSL 0.9.8o 01 Jun 2010 , что делать?? неужели нужно на debian 7 идти?

l$ cat /var/log/apt/history.log | grep openssl
Upgrade: python-openssl:i386 (0.13-2ubuntu5, 0.13-2ubuntu6)
Upgrade: ubuntu-drivers-common:i386 (0.2.91.1, 0.2.91.2), libdb5.3:i386 (5.3.28-3ubuntu2, 5.3.28-3ubuntu3), openssl:i386 (1.0.1f-1ubuntu1, 1.0.1f-1ubuntu2), gcc:i386 (4.8.2-1ubuntu5, 4.8.2-1ubuntu6), cpp:i386 (4.8.2-1ubuntu5, 4.8.2-1ubuntu6), libssl1.0.0:i386 (1.0.1f-1ubuntu1, 1.0.1f-1ubuntu2)
//Start-Date: 2014-04-08 07:22:25

давай еще:

apt-get upgrade

и покажи вывод сюда перед тем как жать Y

а то можно дров наломать нечаянно

хотя смотрю вроде обновилось набрал команду

1.0.1e-2+deb7u5 

ой эту набрал команду dpkg -l | grep -i openssl и там вроде показыает это

dpkg -l | grep -i openssl
rc  libcurl3                           7.21.0-2.1+squeeze7          Multi-protocol file transfer library (OpenSSL)
rc  openssl                            1.0.1e-2+deb7u5              Secure Socket Layer (SSL) binary and related cryptographic tools
rc  ssl-cert                           1.0.28                       simple debconf wrapper for OpenSSL

ну на сайте почему-то выводит это «Uh-oh, something went wrong: tls: oversized record received with length 28012» в чем проблема может быть?

libssl1.0.0:i386 (1.0.1f-1ubuntu1, 1.0.1f-1ubuntu2)

Ну так 1.0.1f а не 1.0.1g. Или я что-то не понял?

я незнаю уже, ну какая то лажа с debian 6. apt-get upgrade

и покажи вывод сюда перед тем как жать Y

а то можно дров наломать нечаянно там нечего нету apt-get upgrade Reading package lists... Done Building dependency tree Reading state information... Done 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Причём тут «f»? Если 8-го апдейт пришёл, то наверное не просто так, а патченный не? Особо не интересовался.

вы мне?

sry

Причём тут «f»? Если 8-го апдейт пришёл, то наверное не просто так, а патченный не? Особо не интересовался.

незнаю, как скинули см.выше мне

http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1f-1u...

openssl (1.0.1f-1ubuntu2) trusty; urgency=medium

* SECURITY UPDATE: side-channel attack on Montgomery ladder implementation

- debian/patches/CVE-2014-0076.patch: add and use constant time swap in crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c, util/libeay.num.

- CVE-2014-0076

* SECURITY UPDATE: memory disclosure in TLS heartbeat extension

- debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c.

- CVE-2014-0160

а по русский что куда вставить нужно?)повторюсь я в этом почти нечего не понимаю мне просто нужно обезопаситься лучше

1. Мой ответ был не тебе.

2. На твой вопрос ссылку тебе уже давали неоднократно. Вот кусок оттуда:

The oldstable distribution (squeeze) is not affected by this vulnerability.

«The oldstable distribution (squeeze)» читай как «Debian 6», а «is not affected by this vulnerability» как «не подвержен данной уязвимости».

На сайте OpenSSL написано тоже самое:

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

И теперь два вопроса:

1. У тебя есть основания не доверять разработчикам своего дистрибутива?

2. Зачем тебе обновляться до 1.0.1g?

разработчикам доверяю, не думаю чтобы чего сделали сайтом, не обновлялись бы другие. У меня сайт работает по https://

apt-get update apt-get dist-upgrade

openssl version -v OpenSSL 1.0.1e 11 Feb 2013

Идет с исправлениями безопасности.

А так, либо бэкпорт, либо руками собирать.

может думаю перейти на debian 7 ? может там будет работать?

Да успокойтесь вы. Версия 0.9.8 не подвержена уязвимости, и вам ссылку выше давали, какие версии патченные (даже, если они не g), а какие нет.