Le 08/04/2014 00:45, Mathieu Arnold a écrit :
>
>
> +--On 7 avril 2014 18:23:04 -0400 Fried Wil <[email protected]>
> wrote:
> | Le mieux est de faire suivre l'adviso officiel :)
> | http://www.openssl.org/news/secadv_20140407.txt
> | la version 1.0.1g corrige la vuln ; la 1.0.2beta2 la corrige aussi
>
> Comme je disais ailleurs, il n'y a que les releases 1.0.1 à 1.0.1f qui
> sont vulnérables, pas celles d'avant.
>
Pour ma part sur Ubuntu 12.04.4
openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
et sur Debian Wheezy
openssl 1.0.1e-2+deb7u5 Secure Socket Layer (SSL) binary and related
cryptographic tools
Pas encore de changelog, mais ça doit être fixé !
http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_1.0.1e-2+deb7u5_changelog
https://packages.debian.org/fr/source/wheezy/openssl
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
