我通过Ubuntu 12.04 LTE上的omnibus package安装了GitLab 6.6.5。我的问题是Ubuntu OpenSSL heartbleed更新是否会涵盖GitLab的安装?安装有一个已安装的嵌入式nginx。我已通过GitLab Omnibus Merge Request #66启用了SSL。
答案 0 :(得分:3)
拥有嵌入式NGinX并不意味着它不会使用您系统上安装的/usr/bin/openssl。 (例如,ngx_http_ssl_module确实需要openssl)
如果openssl是1.0.1g或1.0.2,你就不会有任何问题。
openssl version
如果没有,很容易重新编译并安装它。
可以肯定的是,您可以输入:
ldd /path/to/nginx
这将为您提供二进制nginx使用的openssl的路径
要获得完整路径,您可以使用
readlink -f /path/to/libssl.so.1.0.0
它可能更多地关于
/lib/*/libssl.so.1.0.0而不是/usr/bin/openssl(ldd应该确实指出)。
原则上,使用修复程序升级到包并重新启动NGinX应解决问题。另请注意,分发包(例如Ubuntu)中的版本号不一定与正式版本号完全匹配,因为它们往往保持相同的版本号(对于相同的功能),但是向后移动安全补丁
OP crushedGrass在in the comments
中指出Jacob Vosmaer (jacobvosmaer) commit "Update omnibus-software (CVE-2014-0160)"' omnibus-gitlab
所以我只需要进行重新配置 我相信你和布鲁诺的反馈意见都是正确的,只有更多的依赖关系必须匹配。
GitLab使用Chef cookbooks来配置设置,我肯定不知道它在下游修改它。
答案 1 :(得分:0)
很明显:
-> # ldd /opt/gitlab/embedded/sbin/nginx
...
libssl.so.1.0.0 => /opt/gitlab/embedded/lib/libssl.so.1.0.0 (0x00007fe3cf8f9000)
libcrypto.so.1.0.0 => /opt/gitlab/embedded/lib/libcrypto.so.1.0.0 (0x00007fe3cf520000)
...
Gitlab omnibus使用自己的捆绑OpenSSL。 apt-get update 不会更新并保护gitlab omnibus的安装。