Por que a Trusty não recebeu as atualizações para o OpenVEL CVE-2016-2108 e CVE-2016-2107? [duplicado]

Question

Por que a Trusty não recebeu as atualizações para o OpenVEL CVE-2016-2108 e CVE-2016-2107? [duplicado]

#1 resposta do Nathan Osman (21 votos)

6

O OpenSSL lançou um comunicado de segurança , alertando os usuários sobre duas vulnerabilidades descobertas recentemente:

Corrupção de memória no codificador ASN.1 (CVE-2016-2108)
Padding oracle na verificação AES-NI CBC MAC (CVE-2016-2107)

A recomendação deles é a seguinte:

Usuários do OpenSSL 1.0.2 devem atualizar para 1.0.2h
Usuários do OpenSSL 1.0.1 devem atualizar para o 1.0.1t

No entanto, a versão mais recente disponível para o Trusty (14.04) é 1.0.1f-1ubuntu2.19 . Por que uma versão tão antiga ainda está sendo fornecida e como posso mitigar isso?

updates security openssl

por Nathan Osman 04.05.2016 / 07:04

1 resposta

Tags updates security openssl

Como recuperar binário / bin / ls removido acidentalmente Qual é a maneira correta de reverter o modo restrito do Mysql 5.7 de volta para como ele estava em 5.6?

score 21 · Accepted Answer

A versão atual inclui as mitigações para essas vulnerabilidades. Em vez de acompanhar os lançamentos do OpenSSL, a equipe de segurança prefere as correções de backport.

Você pode confirmar que o pacote contém a atenuação para os CVEs listados na pergunta fazendo o download do pacote Debian para o pacote openssl :

apt-get source openssl

Você encontrará um arquivo chamado openssl_1.0.1f-1ubuntu2.19.debian.tar.gz no diretório atual. Extraia o conteúdo e liste o conteúdo de debian/patches :

$ ls debian/patches
...
CVE-2016-2107.patch
CVE-2016-2108-1.patch
CVE-2016-2108-2.patch
...