
<div dir="ltr">I got the same <span style="font-family:arial,sans-serif;font-size:13px">1.0.1e when I upgraded this morning on my 13.10.</span></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 8 April 2014 19:38, Bob Jonkman <span dir="ltr"><<a href="mailto:bjonkman@sobac.com" target="_blank">bjonkman@sobac.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA1<br>

<br>

On 14-04-08 12:09 PM, CrankyOldBugger wrote:<br>

> I just ran apt-get update && apt-get dist-upgrade on my Ubuntu<br>

> 13.10 laptop and saw both openSSL client and server in the mix, so,<br>

> as stated by the OP, fixes are out there...<br>

<br>

I too saw OpenSSL patches come in before I even knew there was a<br>

problem. But I still get this, even after a reboot:<br>

<br>

> Ubuntu 12.04.4:<br>

>> openssl version<br>

> OpenSSL 1.0.1 14 Mar 2012<br>

><br>

> Ubuntu 13.10, Linux Mint 16 Petra, and Linux Mint Debian Edition<br>

>> openssl version<br>

> OpenSSL 1.0.1e 11 Feb 2013<br>

<br>

Those dates appear too old for an upgrade released yesterday.<br>

<br>

According to  <a href="http://www.ubuntu.com/usn/usn-2165-1/" target="_blank">http://www.ubuntu.com/usn/usn-2165-1/</a> these are the<br>

correct package versions for the patched OpenSSL:<br>

<br>

> Ubuntu 13.10: libssl1.0.0 1.0.1e-3ubuntu1.2 Ubuntu 12.10:<br>

> libssl1.0.0 1.0.1c-3ubuntu2.7 Ubuntu 12.04 LTS: libssl1.0.0<br>

> 1.0.1-4ubuntu5.12<br>

<br>

The version numbers my servers match those of Ubunutu, but according<br>

to <a href="http://heartbleed.com" target="_blank">http://heartbleed.com</a> these are the affected versions:<br>

<br>

> * OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable * OpenSSL<br>

> 1.0.1g is NOT vulnerable * OpenSSL 1.0.0 branch is NOT vulnerable *<br>

> OpenSSL 0.9.8 branch is NOT vulnerable<br>

<br>

I tend to believe the Ubuntu information, who orginated the patch but<br>

may not have incremented the alphabetic suffix in the version. So I<br>

think my servers are patched, even though they display vulnerable<br>

version numbers.<br>

<br>

And Khalid's python script only works against Web servers, not XMPP or<br>

mail servers (which are equally vulnerable).  The online test at<br>

<a href="http://filippo.io/Heartbleed/" target="_blank">http://filippo.io/Heartbleed/</a> gives no results at all for XMPP.<br>

<br>

- --Bob.<br>

<br>

<br>

On 14-04-08 12:09 PM, CrankyOldBugger wrote:<br>

> I just ran apt-get update && apt-get dist-upgrade on my Ubuntu<br>

> 13.10 laptop and saw both openSSL client and server in the mix, so,<br>

> as stated by the OP, fixes are out there...<br>

><br>

><br>

><br>

> On 8 April 2014 11:54, Adam Glauser <<a href="mailto:adamglauser@gmail.com">adamglauser@gmail.com</a>> wrote:<br>

><br>

>> On Tue, Apr 8, 2014 at 11:40 AM, L.D. Paniak<br>

>> <<a href="mailto:ldpaniak@fourpisolutions.com">ldpaniak@fourpisolutions.com</a><br>

>>> wrote:<br>

>><br>

>>> As many of you already know, there is a critical flaw in<br>

>>> OpenSSL versions 1.0.1-1.0.1f (and 1.0.2beta) which allows for<br>

>>> attackers to access server (and client) memory.<br>

>><br>

>><br>

>> Regarding client software: You can check Cygwin systems as<br>

>> follows: `cygcheck -l | grep cygssl` Firefox and Chrome/Chromium<br>

>> use NSS instead of OpenSSL, so are not vulnerable.<br>

>><br>

>> Also, there is a command-line tester tool you can use to check<br>

>> your sites. [1] There is also a web tester at<br>

>> <a href="http://filippo.io/Heartbleed/" target="_blank">http://filippo.io/Heartbleed/</a>, though it seems to be having load<br>

>>  problems (surprise!).<br>

>><br>

>> Does anyone know if Android apps typically provide their own SSL<br>

>>  implementation? That is, does each app need updating?<br>

>><br>

>> [1] <a href="https://github.com/FiloSottile/Heartbleed" target="_blank">https://github.com/FiloSottile/Heartbleed</a><br>

<br>

<br>

Bob Jonkman <<a href="mailto:bjonkman@sobac.com">bjonkman@sobac.com</a>>          Phone: <a href="tel:%2B1-519-669-0388" value="+15196690388">+1-519-669-0388</a><br>

SOBAC Microcomputer Services             <a href="http://sobac.com/sobac/" target="_blank">http://sobac.com/sobac/</a><br>

<a href="http://bob.jonkman.ca/blogs/" target="_blank">http://bob.jonkman.ca/blogs/</a>    <a href="http://sn.jonkman.ca/bobjonkman/" target="_blank">http://sn.jonkman.ca/bobjonkman/</a><br>

Software   ---   Office & Business Automation   ---   Consulting<br>

GnuPG Fngrprnt:04F7 742B 8F54 C40A E115 26C2 B912 89B0 D2CC E5EA<br>

<br>

<br>

-----BEGIN PGP SIGNATURE-----<br>

Version: GnuPG v1.4.14 (GNU/Linux)<br>

Comment: Ensure confidentiality, authenticity, non-repudiability<br>

<br>

iEYEARECAAYFAlNEiHkACgkQuRKJsNLM5epYaQCgoBV07xYrbKtRkBZfCnaHsyZy<br>

fRkAoN9X3I0Uvk7O/2Oz+8Z0Sglip+du<br>

=B07t<br>

-----END PGP SIGNATURE-----<br>

<br>

<br>

_______________________________________________<br>

kwlug-disc mailing list<br>

<a href="mailto:kwlug-disc@kwlug.org">kwlug-disc@kwlug.org</a><br>

<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>

</blockquote></div><br></div>