Ubuntu'nun tüm sürümleri DROWN saldırısına karşı güvenli midir?


9

OpenSSLDROWN güvenlik açığını ( CVE-2016-0800 ) gidermek için 1.0.2g ve 1.0.1s sürümlerini güncelleştirir . Ubuntu 14.04 LTS Trusty Tahr'da en son sürüm 1.0.1f-1ubuntu2.18'dir . DROWN düzeltmelerinin Trusty'ye desteklenmediğini doğru anlıyor muyum? DROWN düzeltmelerinin herhangi bir Ubuntu sürümüne dahil edilmesi gerekiyor mu? OpenSSL



@ArupRoyChowdhury bu güncelleme CVE-2016-0800 bahsetmiyor ama bunlar: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799
talamaki


DROWN eski bir sorundur - SSLv2'yi etkiler. SSLv2, Ubuntu OpenSSL'de devre dışı bırakıldı.
Thomas Ward

Yanıtlar:


17

CVE-2016-0800 :

Öncelikli Ortam

Açıklama

1.0.1s öncesi OpenSSL ve 1.0.2g öncesi 1.0.2 ve diğer ürünlerde kullanılan SSLv2 protokolü, bir istemcinin uzaktaki saldırganların daha kolay olmasını sağlayan belirli düz metin RSA verilerine sahip olduğunu belirlemeden önce bir ServerVerify iletisi göndermesini gerektirir. bir "DROWN" saldırısı olarak adlandırılan bir Bleichenbacher RSA dolgu kehanetinden yararlanarak TLS şifreleme verilerinin şifresini çözmek.

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

  • DNE = mevcut değil
  • Ubuntu bu sorundan etkilenmez.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.