Atualização / atualização para o endereço CVE-2014-0224 não altera data de criação

Question

Atualização / atualização para o endereço CVE-2014-0224 não altera data de criação

#1 resposta do saiarcot895 (0 votos)

0

O Ubuntu informa que a atualização para libssl1.0.0 e 1.0.1-4ubuntu5.14 abordará o CVE-2014-0224 ( USN- 2232-1 )

Essas são as bibliotecas instaladas que podem ser verificadas com apt-cache policy openssl :

apt-cache policy openssl
openssl:
  Installed: 1.0.1-4ubuntu5.14
  Candidate: 1.0.1-4ubuntu5.14
  Version table:
 *** 1.0.1-4ubuntu5.14 0
        500 http://us-east-1.ec2.archive.ubuntu.com/ubuntu/ precise-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu/ precise-security/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1-4ubuntu3 0
        500 http://us-east-1.ec2.archive.ubuntu.com/ubuntu/ precise/main amd64 Packages

A vulnerabilidade foi relatada em 5 de junho de 2014 (consulte aqui )

Depois de atualizar com apt-get update e apt-get upgrade , no entanto, openssl version -a informa que a data de criação era antes da data em que a vulnerabilidade foi relatada.

openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Jun  2 19:37:18 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Minha pergunta:

A data de construção anterior à data do relatório é significativa? Eu tenho que sair da abordagem normal de atualização / atualização usando o apt e compilar a partir do código-fonte?

(Por favor note: isto não é uma duplicata de outra pergunta sobre CVE-2014-0224 (veja aqui )

por vanillajohn 12.06.2014 / 19:56

1 resposta

Ubuntu 14.04: reconfiguração do xrandr Não é possível instalar / iniciar o servidor MySQL

score 0 · Answer 1

A data de construção é significativa, mas mesmo que a data seja anterior à data do relatório, parece que os CVEs foram corrigidos.

De acordo com a página openssl Precise source , a entrada do changelog lista quatro CVEs sendo corrigidos, mas observe que a data do changelog é 2 de junho, o mesmo que a data de construção. O Ubuntu Security primeiro cria pacotes em seu PPA e os copia, e é por isso que ele diz em 5 de junho em outros lugares de sua página.

NOTA: Devido a uma regressão no patch para CVE2014-0224, uma nova versão do openssl foi lançada para todos os lançamentos do Ubuntu. A versão mais recente de openssl para Precise agora é 1.0.1-4ubuntu5.15 (os links de link acima para esse pacote de origem). A versão inicialmente mencionada na pergunta é aqui .