Ubuntu ทุกรุ่นปลอดภัยจากการโจมตี DROWN หรือไม่

OpenSSLอัปเดตรุ่นที่วางจำหน่าย1.0.2g และ 1.0.1sเพื่อแก้ไขช่องโหว่ DROWN ( CVE-2016-0800 ) ใน Ubuntu 14.04 LTS Trusty Tahr ล่าสุดOpenSSLรุ่น1.0.1f-1ubuntu2.18 ฉันเข้าใจอย่างถูกต้องหรือไม่ว่าการแก้ไข DROWN ไม่ได้ถูกส่งกลับไปที่ Trusty จำเป็นต้องมีการแก้ไข DROWN เพื่อรวมกับ Ubuntu ทุกเวอร์ชั่นหรือไม่

security openssl

— talamaki
แหล่งที่มา

ubuntu.com/usn/usn-2914-1เรียบร้อยแล้ว

— Arup Roy Chowdhury

@ArupRoyChowdhury การอัปเดตนั้นไม่ได้กล่าวถึง CVE-2016-0800 แต่สิ่งเหล่านี้: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

— talamaki

เป็นไปได้ที่ซ้ำกันของฉันจะบอกได้อย่างไรว่า CVE ได้รับการแก้ไขในที่เก็บของ Ubuntu หรือไม่?

— muru

DROWN เป็นปัญหาเก่า - ส่งผลต่อ SSLv2 SSLv2 ถูกปิดใช้งานใน Ubuntu OpenSSL

— Thomas Ward

CVE-2016-0800 :

ลำดับความสำคัญปานกลาง

ลักษณะ

โปรโตคอล SSLv2 ที่ใช้ใน OpenSSL ก่อนหน้า 1.0.1s และ 1.0.2 ก่อน 1.0.2g และผลิตภัณฑ์อื่น ๆ ต้องการเซิร์ฟเวอร์เพื่อส่งข้อความ ServerVerify ก่อนสร้างว่าลูกค้ามีข้อมูล RSA แบบธรรมดาซึ่งทำให้ง่ายขึ้นสำหรับผู้โจมตีจากระยะไกล ในการถอดรหัส TLS ciphertext data โดยใช้ประโยชน์จากช่องโหว่ของ Bleichenbacher RSA oracle หรือการโจมตี "DROWN"

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = ไม่มีอยู่
Ubuntu ไม่ได้รับผลกระทบจากปัญหานี้

— Rinzwind
แหล่งที่มา