Heartbleed-forvirring i Ubuntu

Illustration:
Der opstod noget forvirring, da en Ubuntu-bruger opdagede, at den version af OpenSSL, som hans spritnye styresystem kørte på, lignede en ældre usikker udgave.

Heartbleed-sårbarheden findes i OpenSSL-versionerne 1.0.1 til og med 1.0.1f. OpenSSL 1.0.1g er ikke sårbar. Men en Ubuntu-bruger kom alligevel i tvivl, da han installerede Ubuntu 14.04 LTS. Det skriver Digi.no

Brugeren kunne nemlig se, at hans nye version af Ubuntu indeholdt OpenSSLs version 1.0.1f, og mistænkte derfor versionen for at indeholde Heartbleed-sårbarheden.

Læs også: 300.000 systemer er stadig heartbleed-hullede

Men det gør den ifølge Ubuntu Norge ikke.

»Vi ser at han har OpenSSL 1.0.1f installeret – og hvis det er noget de fleste har fanget, så er det, at den version er sårbar. Men vi ser også at det er Ubuntus version er 1.0.1f-1ubuntu2.1, og da kan vi se på ændringene i den versionen her. Vi kan se den lukker CVE-2010-5298 og CVE-2014-0198, som ikke er Heartbleed. Men lidt længere nede på siden kan vi se at forskellen blev gjort i forrige version, altså 1.0.1f-1ubuntu2«, forklarer teamleder i Ubuntu Norge, Jo-Erlend Schinstad til digi.no.

Rettet efter få timer

Jo-Erlend Schinstad påpeger, at Ubuntu var hurtige til at rette fejlen, da den blev kendt.

»Det tog altså ikke mere end nogle få timer fra fejlen blev offentliggjort og til den blev sendt ud til Ubuntus brugere«, skriver han i en mail til digi.no.

Læs også: Heartbleed: Mindre end 40 pct. har skiftet password

Jo-Erlend Schinstad vil gerne frem til, at det i Ubuntu - og en del andte Linux-distrubtioner - ikke er versionsnummeret til upstream - eller kilden til komponenten - som er afgørende om en fejl er blevet rettet i distrubtionen, men distrubtionens eget versionsnummer.

Ændrer mindst muligt

Det, Ubuntu har gjort, kaldes backporting, og det betyder, at de har rettet problemerne i en ældre software, og efterfølgende rettet den ældre softwares navn til, i dette tilfælde til navnet 1.0.1f-1ubuntu2..

Læs også: Rapport: Chromes heartbleed-beskyttelse ”fuldstændigt i stykker”

Hensigten med backporting er, at man i stedet for at bruge nye versioner af programmet, sørger for at systemet ændres så lidt som overhovedet muligt mellem i dag og slutningen af supportperioden.

»Backporting er det, som gør at systemet virker mandag morgen, og at din butikken ikke må holde lukket i en uge,« siger Jo-Erlend Schinstad.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Lars Rasmussen

Det, Ubuntu har gjort, kaldes backporting, og det betyder, at de har rettet problemerne i en ældre software, og efterfølgende rettet den ældre softwares navn

Som jeg forstår 'backport', er det netop at gøre versioner af software til den seneste Ubuntu-version tilgængelige for forrig(e) Ubuntu-version(er).

  • 0
  • 0
#3 Peter Mogensen

Som jeg forstår 'backport', er det netop at gøre versioner af software til den seneste Ubuntu-version tilgængelige for forrig(e) Ubuntu-version(er).

Well... jae.... men det du taler om er "backports" af hele software versioner. Og de vil normalt (i Debian og Ubuntu) være tilgængelige i et særligt "backports" repository.

Det som der snakkes om her er at fixet for den aktuelle bug er blevet "backported" til den version af OpenSSL, der faktisk er i distributionen... og blot er der som et sikkerhedsfix. Man gør det for ikke at ændre på noget som helst andet end det som er kritisk at fikse. Alternativt ville man jo have sendt en helt ny version af OpenSSL ud til alle med alle de muligheder for nye bugs det indebærer.

Men sådan har det egentlig fungeret altid ... og der er ikke nogen nyhed her bortset fra en novice i, der ikke vidste det.

  • 5
  • 0
#4 Lars Rasmussen

Har givet dig thumbs-up, men ... der udestår stadig en definition af at 'backporte'? [quote url="http://en.wikipedia.org/wiki/Backport"]Backporting is the action of taking parts from a newer version of a software system or software component and porting it to an older version of the same software. It forms part of the maintenance step in a software development process, and it is commonly used for fixing security issues in older versions of the software and also for providing new features to older versions.[quote/]

  • 0
  • 0
#6 Lars Kr. Lundin
  • 1
  • 0
Log ind eller Opret konto for at kommentere