web-dev-qa-db-ja.com

Ubuntu 14.04は、2016年12月31日以降もopenssl 1.0.1のセキュリティアップデートをリリースしますか、それともopenssl 1.0.2に移行しますか

現在、1.0.1バージョンにはセキュリティバグ修正のみが提供されており、2016年12月31日にこのバージョンのサポートはすべて終了します。< Link >彼らのウェブサイト。

OpenSSLは、インストール時にデフォルトでUbuntuのメインリポジトリからインストールされます。

Ubuntu 14.04には長期サポートがあります。したがって、OpenSSLのアップグレードバージョンを期待するのか、それとも自分でアップグレードする必要があるのか​​。

5
NEHAL AMIN

あなたの質問に対する答えは、セキュリティ更新プログラムが必要に応じて Trusty LTSサポートの期間 を通じてリリース(バックポート)されるということです。現在、Trusty向けにopenssl 1.0.2をリリースする予定はありません。投稿によると here 2016-12-31以降は1.01のセキュリティパッチのみがリリースされます。利用可能な最新のソースは1.0.1eが利用可能であるようです here

なぜ?

Marc Deslauriers(Ubuntuセキュリティエンジニア)は次のように述べています。 」

したがって、セキュリティへのコミットメントがあります。

関係なくアップグレードする必要があると感じた場合は、ソース このページ を入手して、自分でコンパイルできます。インストール手順はアーカイブに含まれていますが、以前にコードをコンパイルしたことがない場合でも簡単です。

私はこれを一連の行動として推奨しているわけではないことに注意してください。可能性を徹底的にカバーしようとしているだけです。

  $ ./config
  $ make
  $ make test
  $ make install

ソース:

https://www.openssl.org/source/

https://www.openssl.org/source/openssl-1.0.2j.tar.gz に含まれるインストール手順

別の方法として、バージョン 1.0.2g がすでに利用可能なxenial(16.04)にアップグレードするか、Seth Arnold(メンバーUbuntuセキュリティチーム)が述べているように here

"16.04 LTSのopensslパッケージは1.0.2gの開始点に基づいています。16.04LTSの実行がオプションでない場合は、おそらく buntu-dev-tools パッケージの backportpackage コマンドあなたを助けることができます。」

4
Elder Geek

この buntu検索ページ は、Canonicalが14.04 LTSの新しいバージョンのopensslを提供していることを示していません。 openssl 1.0.1のすべてのサポートが間もなく失われることを考えると、パッケージ権限を持つ誰かが16.04から1.0.2をバックポートすることを望みますが、それはまだ発生していないようです(2016年12月22日現在)。

0
Zeiss Ikon