<div dir="ltr">I got the same <span style="font-family:arial,sans-serif;font-size:13px">1.0.1e when I upgraded this morning on my 13.10.</span></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 8 April 2014 19:38, Bob Jonkman <span dir="ltr"><<a href="mailto:bjonkman@sobac.com" target="_blank">bjonkman@sobac.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
On 14-04-08 12:09 PM, CrankyOldBugger wrote:<br>
> I just ran apt-get update && apt-get dist-upgrade on my Ubuntu<br>
> 13.10 laptop and saw both openSSL client and server in the mix, so,<br>
> as stated by the OP, fixes are out there...<br>
<br>
I too saw OpenSSL patches come in before I even knew there was a<br>
problem. But I still get this, even after a reboot:<br>
<br>
> Ubuntu 12.04.4:<br>
>> openssl version<br>
> OpenSSL 1.0.1 14 Mar 2012<br>
><br>
> Ubuntu 13.10, Linux Mint 16 Petra, and Linux Mint Debian Edition<br>
>> openssl version<br>
> OpenSSL 1.0.1e 11 Feb 2013<br>
<br>
Those dates appear too old for an upgrade released yesterday.<br>
<br>
According to  <a href="http://www.ubuntu.com/usn/usn-2165-1/" target="_blank">http://www.ubuntu.com/usn/usn-2165-1/</a> these are the<br>
correct package versions for the patched OpenSSL:<br>
<br>
> Ubuntu 13.10: libssl1.0.0 1.0.1e-3ubuntu1.2 Ubuntu 12.10:<br>
> libssl1.0.0 1.0.1c-3ubuntu2.7 Ubuntu 12.04 LTS: libssl1.0.0<br>
> 1.0.1-4ubuntu5.12<br>
<br>
The version numbers my servers match those of Ubunutu, but according<br>
to <a href="http://heartbleed.com" target="_blank">http://heartbleed.com</a> these are the affected versions:<br>
<br>
> * OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable * OpenSSL<br>
> 1.0.1g is NOT vulnerable * OpenSSL 1.0.0 branch is NOT vulnerable *<br>
> OpenSSL 0.9.8 branch is NOT vulnerable<br>
<br>
I tend to believe the Ubuntu information, who orginated the patch but<br>
may not have incremented the alphabetic suffix in the version. So I<br>
think my servers are patched, even though they display vulnerable<br>
version numbers.<br>
<br>
And Khalid's python script only works against Web servers, not XMPP or<br>
mail servers (which are equally vulnerable).  The online test at<br>
<a href="http://filippo.io/Heartbleed/" target="_blank">http://filippo.io/Heartbleed/</a> gives no results at all for XMPP.<br>
<br>
- --Bob.<br>
<br>
<br>
On 14-04-08 12:09 PM, CrankyOldBugger wrote:<br>
> I just ran apt-get update && apt-get dist-upgrade on my Ubuntu<br>
> 13.10 laptop and saw both openSSL client and server in the mix, so,<br>
> as stated by the OP, fixes are out there...<br>
><br>
><br>
><br>
> On 8 April 2014 11:54, Adam Glauser <<a href="mailto:adamglauser@gmail.com">adamglauser@gmail.com</a>> wrote:<br>
><br>
>> On Tue, Apr 8, 2014 at 11:40 AM, L.D. Paniak<br>
>> <<a href="mailto:ldpaniak@fourpisolutions.com">ldpaniak@fourpisolutions.com</a><br>
>>> wrote:<br>
>><br>
>>> As many of you already know, there is a critical flaw in<br>
>>> OpenSSL versions 1.0.1-1.0.1f (and 1.0.2beta) which allows for<br>
>>> attackers to access server (and client) memory.<br>
>><br>
>><br>
>> Regarding client software: You can check Cygwin systems as<br>
>> follows: `cygcheck -l | grep cygssl` Firefox and Chrome/Chromium<br>
>> use NSS instead of OpenSSL, so are not vulnerable.<br>
>><br>
>> Also, there is a command-line tester tool you can use to check<br>
>> your sites. [1] There is also a web tester at<br>
>> <a href="http://filippo.io/Heartbleed/" target="_blank">http://filippo.io/Heartbleed/</a>, though it seems to be having load<br>
>>  problems (surprise!).<br>
>><br>
>> Does anyone know if Android apps typically provide their own SSL<br>
>>  implementation? That is, does each app need updating?<br>
>><br>
>> [1] <a href="https://github.com/FiloSottile/Heartbleed" target="_blank">https://github.com/FiloSottile/Heartbleed</a><br>
<br>
<br>
Bob Jonkman <<a href="mailto:bjonkman@sobac.com">bjonkman@sobac.com</a>>          Phone: <a href="tel:%2B1-519-669-0388" value="+15196690388">+1-519-669-0388</a><br>
SOBAC Microcomputer Services             <a href="http://sobac.com/sobac/" target="_blank">http://sobac.com/sobac/</a><br>
<a href="http://bob.jonkman.ca/blogs/" target="_blank">http://bob.jonkman.ca/blogs/</a>    <a href="http://sn.jonkman.ca/bobjonkman/" target="_blank">http://sn.jonkman.ca/bobjonkman/</a><br>
Software   ---   Office & Business Automation   ---   Consulting<br>
GnuPG Fngrprnt:04F7 742B 8F54 C40A E115 26C2 B912 89B0 D2CC E5EA<br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.14 (GNU/Linux)<br>
Comment: Ensure confidentiality, authenticity, non-repudiability<br>
<br>
iEYEARECAAYFAlNEiHkACgkQuRKJsNLM5epYaQCgoBV07xYrbKtRkBZfCnaHsyZy<br>
fRkAoN9X3I0Uvk7O/2Oz+8Z0Sglip+du<br>
=B07t<br>
-----END PGP SIGNATURE-----<br>
<br>
<br>
_______________________________________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
</blockquote></div><br></div>