>”OpenSSL 1.0.1e-37”の部分が同じであることを考えると >ひょっとして >openssl-1.0.1e-37.fc18.x86_64 >もセキュリティ対策済みなのでしょうか？ リンク先のページによると…脆弱性の報告があったのが 2014年4月10日かな？ んで、openssl-1.0.1e-37.fc18.src.rpmの登録日が… http://mirrors.kernel.org/fedora/updates/18/SRPMS/ によると、2014年1月8日。 FTPでの同期で、日付が前後したとしても…3ヶ月後の未来に報告される脆弱性の修正は不可能かと。 ChangeLogもにも… * Tue Jan 7 2014 Tom叩邸 Mr叩z <tmraz@redhat.com> 1.0.1e-37 - fix CVE-2013-4353 - Invalid TLS handshake crash - fix CVE-2013-6450 - possible MiTM attack on DTLS1 が最新のようですし。(sprmを展開して、openssl.spec内を確認) ”OpenSSL 1.0.1e-37”というのは、 opeenssl-1.0.1eの「そのディストリビューションでの『37』番目のリリース」という意味でしかありません。 specファイルだと Name: openssl Version: 1.0.1e Release: 37%{?dist} の記述部分。 たまに番号が飛んだり、別の番号がついたりすることはありますが、 リリース番号が同一だからと言ってサポートの終わったモノに対して処理されることはありません。 # ましてFedoraですし…。 よって…未対策です。 自前でパッチ当てたりして対処しない限りは脆弱性が残ったままとなります。 サポート終了というのはそういう意味で、「安全になったからパッチが適用されなくなった」ではありませんのであしからず。 # 以前にFedora18はサポート終わっている。という誰かの回答に対してそのように返答していたかと思いますが…。 影響度が大きいと、有志よるパッチ宛てがされることはありますけどね。 # んで、パッチ宛てをがんばってみようとした方と思われる質問が… # https://gist.github.com/dahjelle/10151097 # でしょうか。ちゃんと読んでませんけど。 # Fedora bug report.から引っ張って来たPatchを当てようとしている…んでしょうかねぇ……。 # 元のソースの方にOPENSSL_NO_HEARTBEATSに対応したコードが入っていないとspecファイルにだけパッチ当てても意味ないのですが…。