Ubuntu10.04でOpenSSL0.9.8kをOpenSSL1.0.1cにアップグレードします
現在Ubuntu10.04を使用しており、PCIコンプライアンスの結果に基づいて、OpenSSLをアップグレードするように指示されています。
this reference および this を使用してこれを実行しようとしました。
残念ながら、それらは私にとってはうまくいきませんでした。また、インストール前に古いバージョンを削除しようとすると、システムでいくつかのシンが壊れたように見えます。
Steve Gordonの記事は私にはうまくいくように見えましたが、openssl versionコマンドを実行したとき、それはまだ古いバージョンであると読みました。
誰かが私が何をすべきかについて何か提案があるかどうか疑問に思いました。
修正:Steven Gordonの手順に従った後、Apacheを再起動するか、コンピューターを再起動してください(両方を実行しましたが、簡単に再起動するだけですぐに修正されると確信しています)。
opensslをアップグレードすると、状況は悪化しますが、悪化することはありません。 PCI認定を行っている人に関するCVEのリストを取得する必要があります。次に、これらのCVEのそれぞれについて、UbuntuがこれらのCVEに対処するためのパッチをバックポートしていることを示すことができます。
これはUbuntuのセキュリティトラッカーです 。このサイトにCVEを配置して、Ubuntuが問題にいつ対処したかを確認できます。
たとえば、最新のopenssl CVEは文書化されています ここ そしてそれは この脆弱性が修正されているというUbuntuの通知 にリンクしています。
PCI認証を行う会社は、この種の文書を受け入れる必要があります。
OpenSSLをアップグレードする必要がある場合は、OS全体をアップグレードして、OSのサポートされているパッケージを介してOpenSSLの新しいバージョンを配置するか、ソースからインストールするか、3番目のパッケージを使用するという曲がりくねった問題の多いパスをたどります。 -partyパッケージリポジトリ。
ただし、アップグレードする必要はまったくない場合があります。新しいバージョンからのセキュリティ修正は古いパッケージにバックポートされることに注意してください。セキュリティスキャンは、単純なバージョン番号チェックに依存しているため、多くの場合、誤検知があります。 package changelog は、定期的にセキュリティアップデートを取得していることを示しています。アップグレードに膨大な時間と労力を費やす前に、調査結果に対して実際に脆弱であることを確認してください。