จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox

ผมจึงได้รวบรวมข้อมูลเลขเวอร์ชันของ OpenSSL ที่มีปัญหา Heartbleed นี้ และเวอร์ชันที่ได้รับการ Bug Fix บนระบบปฏิบัติการ Linux Distribution ต่างๆ มาให้ เพื่อที่คนที่ทำหน้าที่ดูแลระบบเซิร์ฟเวอร์หรือระบบรักษาความปลอดภัยจะได้ตรวจสอบได้ว่าเครื่องเซิร์ฟเวอร์ที่ใช้อยู่มีความเสี่ยงหรือไม่

สำหรับ OpenSSL ที่มีปัญหา Heartbleed จะมีเลขเวอร์ชันดังต่อไปนี้

• 1.0.1
• 1.0.1a
• 1.0.1b
• 1.0.1c
• 1.0.1d
• 1.0.1e
• 1.0.1f

REHL และ CentOS

เวอร์ชันที่มีปัญหาคือ RHEL 6, RHEL 6.5 และ CentOS 6.5 หากใครที่ไม่ได้อัพเดตหรือไม่ได้ติดตั้ง REHL/CentOS เวอร์ชันดังกล่าวก็จะไม่โดนปัญหา Heartbleed

รายชื่อ OpenSSL Package ที่อัพเดตเพื่อแก้ไขบั๊กตัวนี้แล้ว

• openssl-1.0.1e-16.el6_5.7.i686.rpm
• openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
• openssl-perl-1.0.1e-16.el6_5.7.i686.rpm
• openssl-static-1.0.1e-16.el6_5.7.i686.rpm
• openssl-1.0.1e-16.el6_5.7.i686.rpm
• openssl-1.0.1e-16.el6_5.7.x86_64.rpm
• openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
• openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
• openssl-perl-1.0.1e-16.el6_5.7.x86_64.rpm
• openssl-static-1.0.1e-16.el6_5.7.x86_64.rpm
• openssl-1.0.1e-16.el6_5.7.src.rpm

Fedora

• Fedora 19 : openssl-1.0.1e-37.fc19.1.x86_64.rpm
• Fedora 20 : openssl-1.0.1e-37.fc20.1.x86_64.rpm

Debian

• Squeeze (Debian 6) : ไม่ได้รับผลกระทบ เนื่องจากใช้ OpenSSL ล่าสุดที่ใช้คือเวอร์ชัน 0.9.8
• Wheezy (Debian 7) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1e-2+deb7u5.
• Jessie (Testing distribution) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1g-1.
• Sid (Unstable distribution) : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ 1.0.1g-1.

Ubuntu

ได้รับผลกระทบ 3 เวอร์ชัน หลักๆ คือ Ubuntu 13.10, Ubuntu 12.10 และ Ubuntu 12.04 LTS

• Ubuntu 13.10 : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1e-3ubuntu1.2
• Ubuntu 12.10 : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1c-3ubuntu2.7
• Ubuntu 12.04 LTS : อัพเดตล่าสุดที่ได้รับการแก้ไขแล้วคือ libssl1.0.0 และ 1.0.1-4ubuntu5.12

เนื่องจากระบบปฏิบัติการ Linux Distro ต่างๆ นั้นจะมีการนับเลขเวอร์ชันของซอฟต์แวร์แตกต่างกันออกไป สำหรับปัญหาในเรื่องของความปลอดภัยนั้นจะใช้วิธีการ Backport Security Patch โดยใช้เลขเวอร์ชันชุดหน้าเหมือนเดิม แต่มีการเพิ่มเลขเข้าไปด้านหลังแทน ยกตัวอย่างเช่น OpenSSL เวอร์ชันล่าสุดของ CentOS 6 คือ 1.0.1e-16 ซึ่งถือว่าเป็นเวอร์ชันล่าสุด เทียบเท่าได้กับ OpenSSL 1.0.1g ที่ทีมงานของ OpenSSL ได้แก้ไขบั๊ก Heartbleed นี้แล้ว

** และหลังจากอัพเดตซอฟต์แวร์ OpenSSL เป็นเวอร์ชันล่าสุดที่แก้ไขปัญหาบั๊ก Heartbleed เรียบร้อยแล้ว อย่าลืมที่จะ Restart Service ต่างๆที่มีการเรียกใช้งาน OpenSSL Library กันด้วยนะครับ ยกตัวอย่างเช่น httpd, lighttpd, nginx, postfix เป็นต้น

ที่มา

• CESA-2014:0376 Important CentOS 6 openssl Update
• Status on CVE-2014-0160, aka "Heartbleed"
• Debian Security Advisory DSA-2896-1 openssl -- security update
• USN-2165-1: OpenSSL vulnerabilities
• อธิบายสิ่งที่เกิดขึ้นและผลกระทบจากบั๊ก Heartbleed