Czy wszystkie wersje Ubuntu są zabezpieczone przed atakiem DROWN?

9

OpenSSLaktualizuje wersje wydania 1.0.2g i 1.0.1s, aby naprawić lukę DROWN ( CVE-2016-0800 ). W Ubuntu 14.04 LTS Trusty Tahr najnowsza OpenSSLwersja to 1.0.1f-1ubuntu2.18 . Czy rozumiem poprawnie, że poprawki DROWN nie zostały przeniesione do Trusty? Czy poprawki DROWN muszą być dołączone do jakichkolwiek wersji Ubuntu?

security openssl talamaki
źródło
ubuntu.com/usn/usn-2914-1 wszystko gotowe.
Arup Roy Chowdhury,
@ArupRoyChowdhury ta aktualizacja nie wspomina o CVE-2016-0800, ale te: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799
talamaki
5
Możliwy duplikat Skąd mam wiedzieć, czy CVE został naprawiony w repozytoriach Ubuntu?
muru
DROWN to stary problem - dotyczy protokołu SSLv2. SSLv2 jest wyłączony w Ubuntu OpenSSL.
Thomas Ward

Odpowiedzi:

17

CVE-2016-0800 :

Średni priorytet

Opis

Protokół SSLv2, używany w OpenSSL przed 1.0.1s i 1.0.2 przed 1.0.2g i innymi produktami, wymaga od serwera wysłania komunikatu ServerVerify przed ustaleniem, że klient posiada pewne dane RSA w postaci zwykłego tekstu, co ułatwia zdalnym atakującym w celu odszyfrowania danych zaszyfrowanych TLS za pomocą wyroczni Bleichenbacher RSA, czyli ataku „DROWN”.

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected
  • DNE = nie istnieje
  • Problem nie dotyczy systemu Ubuntu.
Rinzwind
źródło