Todas as versões do Ubuntu são seguras contra o ataque DROWN?

Question

Todas as versões do Ubuntu são seguras contra o ataque DROWN?

#1 resposta do Rinzwind (17 votos)

9

OpenSSL atualiza versões de versões 1.0.2g e 1.0.1s para corrigir a vulnerabilidade DROWN ( CVE-2016-0800 . No Ubuntu 14.04 LTS Trusty Tahr, a versão mais recente do OpenSSL é 1.0.1f-1ubuntu2.18 . Eu entendi corretamente que as correções do DROWN não foram portadas para o Trusty? As correções de DROWN precisam ser incorporadas a qualquer versão do Ubuntu?

security openssl

por talamaki 04.03.2016 / 09:28

1 resposta

Tags security openssl

O sistema de pacotes é quebrado após o upgrade para o Ubuntu 17.04 ubuntu gnome 17.04 falha de inicialização no VirtualBox após a instalação de adições de convidado

score 17 · Accepted Answer

CVE-2016-0800 :

Meio de prioridade

Descrição

O protocolo SSLv2, como usado no OpenSSL antes de 1.0.1s e 1.0.2 antes   1.0.2g e outros produtos, requer que um servidor envie uma mensagem do ServerVerify   antes de estabelecer que um cliente possui certos dados RSA de texto simples,   o que torna mais fácil para atacantes remotos descriptografarem dados de texto cifrado TLS   aproveitando um oráculo de acolchoamento Bleichenbacher RSA, também conhecido como ataque "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = não existe
O Ubuntu não é afetado por esse problema.