Все ли версии Ubuntu защищены от атаки DROWN?

9

OpenSSLобновляет версии 1.0.2g и 1.0.1s для устранения уязвимости DROWN ( CVE-2016-0800 ). В Ubuntu 14.04 LTS Trusty Tahr последняя OpenSSLверсия - 1.0.1f-1ubuntu2.18 . Правильно ли я понимаю, что исправления DROWN не были перенесены в Trusty? Нужно ли вносить исправления DROWN в какие-либо версии Ubuntu?

security openssl talamaki
источник
ubuntu.com/usn/usn-2914-1 все сделано.
Arup Roy Chowdhury
@ArupRoyChowdhury, это обновление не упоминает CVE-2016-0800, но это: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799
talamaki
5
Возможный дубликат Как я могу узнать, было ли исправлено CVE в репозиториях Ubuntu?
Муру
DROWN - старая проблема - влияет на SSLv2. SSLv2 отключен в Ubuntu OpenSSL.
Томас Уорд

Ответы:

17

CVE-2016-0800 :

Приоритет Средний

Описание

Протокол SSLv2, используемый в OpenSSL до 1.0.1s и 1.0.2 до 1.0.2g и других продуктах, требует от сервера отправки сообщения ServerVerify до того, как будет установлено, что клиент обладает определенными незашифрованными данными RSA, что облегчает работу удаленных злоумышленников. расшифровать данные зашифрованного текста TLS, используя дополнительный оракул Bleichenbacher RSA, также известный как «DROWN» атака.

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected
  • DNE = не существует
  • Ubuntu не подвержена этой проблеме.
Rinzwind
источник