Le 08/04/2014 00:45, Mathieu Arnold a écrit :
>
>
> +--On 7 avril 2014 18:23:04 -0400 Fried Wil <wilfried.pasca...@gmail.com>
> wrote:
> | Le mieux est de faire suivre l'adviso officiel :)
> | http://www.openssl.org/news/secadv_20140407.txt
> |  la version 1.0.1g corrige la vuln ; la 1.0.2beta2 la corrige aussi
>
> Comme je disais ailleurs, il n'y a que les releases 1.0.1 à 1.0.1f qui
> sont vulnérables, pas celles d'avant.
>
Pour ma part sur Ubuntu 12.04.4
openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium

  * SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

et sur Debian Wheezy

openssl  1.0.1e-2+deb7u5   Secure Socket Layer (SSL) binary and related
cryptographic tools

Pas encore de changelog, mais ça doit être fixé !

http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_1.0.1e-2+deb7u5_changelog
https://packages.debian.org/fr/source/wheezy/openssl


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à