Почему Trusty не получил обновления для CVE-2016-2108 и CVE-2016-2107 OpenSSL?

Question

Почему Trusty не получил обновления для CVE-2016-2108 и CVE-2016-2107 OpenSSL?

OpenSSL выпустил рекомендацию по безопасности, предупреждающую пользователей о двух недавно обнаруженных уязвимостях:

Повреждение памяти в кодере ASN.1 (CVE-2016-2108)
Заполнение оракула в проверке AES-NI CBC MAC (CVE-2016-2107)

Их рекомендация заключается в следующем:

Пользователи OpenSSL 1.0.2 должны обновиться до 1.0.2h
Пользователи OpenSSL 1.0.1 должны обновить до 1.0.1t

Тем не менее, последняя версия для Trusty (14.04) 1.0.1f-1ubuntu2.19, Почему такая старая версия все еще предоставляется и как я могу смягчить это?

6

updates security openssl

Источник

Nathan Osman 04 май '16 в 05:04

1 ответ

Решение

Другие вопросы по тегам updates security openssl

Nathan Osman 04 май '16 в 05:04 2016-05-04 05:04 · Accepted Answer · 2016-05-04 05:04

Текущая версия действительно включает меры по устранению этих уязвимостей. Вместо того, чтобы идти в ногу с выпусками OpenSSL, команда безопасности предпочитает делать бэкпорт исправления.

Вы можете подтвердить, что пакет содержит смягчение для CVE, перечисленных в вопросе, загрузив пакет Debian для openssl пакет:

apt-get source openssl

Вы найдете файл с именем openssl_1.0.1f-1ubuntu2.19.debian.tar.gz в текущем каталоге. Извлеките содержимое и перечислите содержимое debian/patches:

$ ls debian / patches...
CVE-2016-2107.patch
CVE-2016-2108-1.patch
CVE-2016-2108-2.patch...