似乎Raspbian尚未更新,无法解决Heartbleed错误。 sudo apt-get update然后sudo apt-get upgrade不会更新任何内容(这是一个昨天刚更新的系统,因此它都是最新的。)

当我执行sudo apt-get install openssl时,它会告诉我已安装了最新版本openssl version告诉我仍安装1.0.1e。 OpenSSL的第一个非漏洞版本是1.0.1g,那么如何更新到此版本?

评论

我刚刚从raspbian中检查了我的OpenSSl版本,它使用的是0.9.8,根据heartbleed.com
它不容易受到攻击

#1 楼

受影响的核心软件包是libssl1.0.0,如果可以的话,只需将其替换为修补版本,然后重新启动一切即可。您可以尝试下载二进制文件,并使用dpkg1.0.1e-2+deb7u5版本的wheezy手动安装arm-hf。

还可以使用jessie存储库,仅用于一次更新。应该会为您提供1.0.1g-1版本。

在安装并重新启动后,强烈建议您撤销所有密钥和证书,并使用新的密码和向量从头开始重新生成所有内容。


自2014年4月9日起,主要的wheezy存储库使用已修补的版本1.0.1e-2+deb7u5,并按如下所述获得了它:以下软件包:

libssl1.0.0 openssh-client openssh-server openssl ssh


*这里是如何使用jessie存储库有选择地升级某些软件包,而又不会完全破坏喘息的机会,并将安装最新的g版本

将以下两行添加到/etc/apt/sources.list

> sudo apt-get update 
> sudo apt-get upgrade


然后编辑文件/etc/apt/preferences(创建文件(如果不存在)告诉apt应该在哪个存储库中进行更新。我们将jessie放在较低的优先级上,这样当您使用apt-get update时,它将忽略jessie而改用wheezy回购。这对于此步骤之后的步骤很重要。

deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rpi
deb http://archive.raspbian.org/raspbian jessie main contrib non-free rpi


现在,您可以随意使用jessie

Package: *
Pin: release n=wheezy
Pin-Priority: 900

Package: *
Pin: release n=jessie
Pin-Priority: 300

Package: *
Pin: release o=Raspbian
Pin-Priority: -10


*摘自第6章,Raspberry Pi Server Essentials。



评论


您能展示一下如何使用jessie存储库进行一次更新吗?

–热火约翰
2014年4月8日在19:46

感谢您指出了这一点。托管公司几个月前禁用了我的网站,而我的ISP阻止了对该网站的访问,因此我已经有一段时间没有对其进行检查了。我用Google查看了缓存的内容,确实看起来很可疑。再次感谢。您的书很好看,我在亚马逊上预览过。

–热火约翰
2014年4月8日在20:21

现在,此问题已得到修复,我使用正常的存储库更新了树莓派。

– Gabrign
2014年4月9日在8:56

是的,这是当前更新中的内容:> sudo apt-get更新> sudo apt-get升级将升级以下软件包:libssl1.0.0 openssh-client openssh-server openssl ssh

–keithl8041
2014年4月9日在9:44

就我而言,最新版本是1.0.1e-2 + rvt + deb7u6。我不确定rvt部分是什么,但是deb7u6向我表明这很好。 (发布以帮助进行搜索。)

–善待您的Mod
2014年4月11日下午0:47