Forum

Reprise du message précédent

Mandriva ? pardon ?

sinon ftp://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/distrib/4/i586/media/core/updates/openssl-1.0.1e-8.2.mga4.i586.rpm
sauf que c'est surement pas le seul rpm.

Bref vérifier vos dépôt (au pire en les enlevant/remettant)

Salut Leuhmanu

Je reçois toujours les annonces mandriva, en général ça anticipe bien sur les mises à jour à venir de Mageia qui suivent peu après.

Les dépôts ok, mais de mon côté la question n'a jamais été réglée de savoir lesquels étaient à jour puisqu'il y avait un problème au début, les miroirs n'étant pas synchros, je suis resté avec ceux esslingen.de. Si la maj openssl est sur Jussieu ça prouve qu'ils ne sont toujours pas synchros ...

Par ailleurs, je ne vois pas en quoi les versions antérieures à 1.0.1g sont les bonnes, voir le site heartbleed cité plus haut à What versions of the OpenSSL are affected?

La question ne me semble donc pas réglée, merci néanmoins et jeme trompe peut-être.

La seule version correcte que j'ai trouvée mais impossible d'installer, c'est pour mga5
http://www.rpmfind.net/linux/rpm2html/search.php?query=openssl&submit=Search+...&system=mageia&arch=


La suele version pour l'instant dispo est sur https://www.openssl.org/source/ mais pas de rpm.
Bruno

Ps : je suis sur mga3

Édité par lcb1 Le 10/04/2014 à 10h37

Sauf que notre version à été patché: http://svnweb.mageia.org/packages?view=revision&revision=612764

pas un probleme donc.

Bon c'est cool, alors. J'avais remarqué en effet la version installée.

Ce qui est étrange est que j'ai la bonne version datée du 07/04 alors qu'il ne me semble pas avoir vu de mise à jour. Mystère.

Ils sont quand même un peu bizarres, d'un côté nous dire qu'avant la "g" ça ne va pas et de faire un parch "e".

Enfin bref, merci et @+

Le lien pointe vers 1.0.1e or la faille semble être présente jusqu'à la version 1.0.1f alors je ne comprends pas de trop...

Salut,

Le paquet peut-être très bien en version "e" si celui-ci a été patché.

FreeBSD utilise le même système : pas de changement de version mais un patch correctif et devient par exemple : e-1

Merci

Hello,



Exact, mais quand on regarde dans l'historique, ce que j'ai fait, ce n'est pas parlant du tout



Vu l'importance du pb, dans cet historique, une petite référence au mot "heartbless" par exemple permettrait de ne pas douter!

Le quidam moyen n'est pas forcément dans les petits papiers des développeurs...

Édité par kalagani Le 23/04/2014 à 23h32

Salut en regardant ça :
https://www.us-cert.gov/ncas/alerts/TA14-098A

(CVE-2014-0160) et donc le patch :
- add upstream patch to fix CVE-2014-0160

Donc logiquement oui, c'est patché...

Ceci est le message de commit, les choses intéressantes sont ici: http://advisories.mageia.org/MGASA-2014-0165.html

https://ml.mageia.org/l/info/updates-announce
http://advisories.mageia.org/4.rss

(Pour la petite histoire, rpmdrake pourrait l'ajouter, mais cela n'as pas -encore- été mis en place)

Ayo

je refais surface suite à une maj mais toujours en version 1.0.1e-1.7.mga3, pas idée porquoi tant de patchs et tjs pas de version récente, mais enfin, on fait confiance.