Heartbleed-sårbarheden findes i OpenSSL-versionerne 1.0.1 til og med 1.0.1f. OpenSSL 1.0.1g er ikke sårbar. Men en Ubuntu-bruger kom alligevel i tvivl, da han installerede Ubuntu 14.04 LTS. Det skriver Digi.no
Brugeren kunne nemlig se, at hans nye version af Ubuntu indeholdt OpenSSLs version 1.0.1f, og mistænkte derfor versionen for at indeholde Heartbleed-sårbarheden.
Men det gør den ifølge Ubuntu Norge ikke.
»Vi ser at han har OpenSSL 1.0.1f installeret – og hvis det er noget de fleste har fanget, så er det, at den version er sårbar. Men vi ser også at det er Ubuntus version er 1.0.1f-1ubuntu2.1, og da kan vi se på ændringene i den versionen her. Vi kan se den lukker CVE-2010-5298 og CVE-2014-0198, som ikke er Heartbleed. Men lidt længere nede på siden kan vi se at forskellen blev gjort i forrige version, altså 1.0.1f-1ubuntu2«, forklarer teamleder i Ubuntu Norge, Jo-Erlend Schinstad til digi.no.
Rettet efter få timer
Jo-Erlend Schinstad påpeger, at Ubuntu var hurtige til at rette fejlen, da den blev kendt.
»Det tog altså ikke mere end nogle få timer fra fejlen blev offentliggjort og til den blev sendt ud til Ubuntus brugere«, skriver han i en mail til digi.no.
Jo-Erlend Schinstad vil gerne frem til, at det i Ubuntu – og en del andte Linux-distrubtioner – ikke er versionsnummeret til upstream – eller kilden til komponenten – som er afgørende om en fejl er blevet rettet i distrubtionen, men distrubtionens eget versionsnummer.
Ændrer mindst muligt
Det, Ubuntu har gjort, kaldes backporting, og det betyder, at de har rettet problemerne i en ældre software, og efterfølgende rettet den ældre softwares navn til, i dette tilfælde til navnet 1.0.1f-1ubuntu2..
Hensigten med backporting er, at man i stedet for at bruge nye versioner af programmet, sørger for at systemet ændres så lidt som overhovedet muligt mellem i dag og slutningen af supportperioden.
»Backporting er det, som gør at systemet virker mandag morgen, og at din butikken ikke må holde lukket i en uge,« siger Jo-Erlend Schinstad.
Leave a Reply