Heartbleed-forvirring i Ubuntu

14. maj 2014 kl. 08:347
Der opstod noget forvirring, da en Ubuntu-bruger opdagede, at den version af OpenSSL, som hans spritnye styresystem kørte på, lignede en ældre usikker udgave.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Heartbleed-sårbarheden findes i OpenSSL-versionerne 1.0.1 til og med 1.0.1f. OpenSSL 1.0.1g er ikke sårbar. Men en Ubuntu-bruger kom alligevel i tvivl, da han installerede Ubuntu 14.04 LTS. Det skriver Digi.no

Brugeren kunne nemlig se, at hans nye version af Ubuntu indeholdt OpenSSLs version 1.0.1f, og mistænkte derfor versionen for at indeholde Heartbleed-sårbarheden.

Men det gør den ifølge Ubuntu Norge ikke.

»Vi ser at han har OpenSSL 1.0.1f installeret – og hvis det er noget de fleste har fanget, så er det, at den version er sårbar. Men vi ser også at det er Ubuntus version er 1.0.1f-1ubuntu2.1, og da kan vi se på ændringene i den versionen her. Vi kan se den lukker CVE-2010-5298 og CVE-2014-0198, som ikke er Heartbleed. Men lidt længere nede på siden kan vi se at forskellen blev gjort i forrige version, altså 1.0.1f-1ubuntu2«, forklarer teamleder i Ubuntu Norge, Jo-Erlend Schinstad til digi.no.

Rettet efter få timer

Jo-Erlend Schinstad påpeger, at Ubuntu var hurtige til at rette fejlen, da den blev kendt.

Artiklen fortsætter efter annoncen

»Det tog altså ikke mere end nogle få timer fra fejlen blev offentliggjort og til den blev sendt ud til Ubuntus brugere«, skriver han i en mail til digi.no.

Jo-Erlend Schinstad vil gerne frem til, at det i Ubuntu - og en del andte Linux-distrubtioner - ikke er versionsnummeret til upstream - eller kilden til komponenten - som er afgørende om en fejl er blevet rettet i distrubtionen, men distrubtionens eget versionsnummer.

Ændrer mindst muligt

Det, Ubuntu har gjort, kaldes backporting, og det betyder, at de har rettet problemerne i en ældre software, og efterfølgende rettet den ældre softwares navn til, i dette tilfælde til navnet 1.0.1f-1ubuntu2..

Hensigten med backporting er, at man i stedet for at bruge nye versioner af programmet, sørger for at systemet ændres så lidt som overhovedet muligt mellem i dag og slutningen af supportperioden.

»Backporting er det, som gør at systemet virker mandag morgen, og at din butikken ikke må holde lukket i en uge,« siger Jo-Erlend Schinstad.

Emner
7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
Lars Rasmussen
14. maj 2014 kl. 19:57

Det, Ubuntu har gjort, kaldes backporting, og det betyder, at de har rettet problemerne i en ældre software, og efterfølgende rettet den ældre softwares navn

Som jeg forstår 'backport', er det netop at gøre versioner af software til den seneste Ubuntu-version tilgængelige for forrig(e) Ubuntu-version(er).

  • more_vert
    • insert_linkKopier link
3
Peter Mogensen
14. maj 2014 kl. 20:25

Som jeg forstår 'backport', er det netop at gøre versioner af software til den seneste Ubuntu-version tilgængelige for forrig(e) Ubuntu-version(er).

Well... jae.... men det du taler om er "backports" af hele software versioner. Og de vil normalt (i Debian og Ubuntu) være tilgængelige i et særligt "backports" repository.

Det som der snakkes om her er at fixet for den aktuelle bug er blevet "backported" til den version af OpenSSL, der faktisk er i distributionen... og blot er der som et sikkerhedsfix. Man gør det for ikke at ændre på noget som helst andet end det som er kritisk at fikse. Alternativt ville man jo have sendt en helt ny version af OpenSSL ud til alle med alle de muligheder for nye bugs det indebærer.

Men sådan har det egentlig fungeret altid ... og der er ikke nogen nyhed her bortset fra en novice i, der ikke vidste det.

  • more_vert
    • insert_linkKopier link
4
Lars Rasmussen
14. maj 2014 kl. 21:29

Har givet dig thumbs-up, men ... der udestår stadig en definition af at 'backporte'? [quote url="http://en.wikipedia.org/wiki/Backport"]Backporting is the action of taking parts from a newer version of a software system or software component and porting it to an older version of the same software. It forms part of the maintenance step in a software development process, and it is commonly used for fixing security issues in older versions of the software and also for providing new features to older versions.[quote/]

  • more_vert
    • insert_linkKopier link
7
Peter Mogensen
15. maj 2014 kl. 06:43

der udestår stadig en definition af at 'backporte'

"backporte": Tage noget fra noget nyere og gøre til tilgængelige i noget ældre, hvor det ellers ikke ville have været.

Der er ikke nogen eksakt definition. Om "noget" er distributioner, releases, fixes eller konkrete versioner af konkrete kildetekster er op til det konkrete scenarie.

  • more_vert
    • insert_linkKopier link
5
Lars Rasmussen
14. maj 2014 kl. 21:43

Nogen/noget gjorde, at jeg ikke fik færdiggjort mit sidste indlæg ... jeg gider ikke igen :-)

  • more_vert
    • insert_linkKopier link
1
Lars Rasmussen
14. maj 2014 kl. 19:32

andte Linux-distrubtioner

  • more_vert
    • insert_linkKopier link