Ubuntu'nun tüm sürümleri DROWN saldırısına karşı güvenli midir?

OpenSSLDROWN güvenlik açığını ( CVE-2016-0800 ) gidermek için 1.0.2g ve 1.0.1s sürümlerini güncelleştirir . Ubuntu 14.04 LTS Trusty Tahr'da en son sürüm 1.0.1f-1ubuntu2.18'dir . DROWN düzeltmelerinin Trusty'ye desteklenmediğini doğru anlıyor muyum? DROWN düzeltmelerinin herhangi bir Ubuntu sürümüne dahil edilmesi gerekiyor mu? OpenSSL

security openssl

— talamaki
kaynak

ubuntu.com/usn/usn-2914-1 hepsi bitti.

— Arup Roy Chowdhury

@ArupRoyChowdhury bu güncelleme CVE-2016-0800 bahsetmiyor ama bunlar: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

— talamaki

Olası yinelenen bir CVE Ubuntu'nun depolarında sabit olup olmadığını anlarım nasıl?

— muru

DROWN eski bir sorundur - SSLv2'yi etkiler. SSLv2, Ubuntu OpenSSL'de devre dışı bırakıldı.

— Thomas Ward

CVE-2016-0800 :

Öncelikli Ortam

Açıklama

1.0.1s öncesi OpenSSL ve 1.0.2g öncesi 1.0.2 ve diğer ürünlerde kullanılan SSLv2 protokolü, bir istemcinin uzaktaki saldırganların daha kolay olmasını sağlayan belirli düz metin RSA verilerine sahip olduğunu belirlemeden önce bir ServerVerify iletisi göndermesini gerektirir. bir "DROWN" saldırısı olarak adlandırılan bir Bleichenbacher RSA dolgu kehanetinden yararlanarak TLS şifreleme verilerinin şifresini çözmek.

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = mevcut değil
Ubuntu bu sorundan etkilenmez.

— Rinzwind
kaynak