O que é o CVE-2015-1793? Isso me afeta?

Navegue suas respostas
4

Aparentemente, um novo bug foi descoberto no OpenSSL, e está sendo chamado como Falsificação de certificado de cadeias alternativas (CVE- 2015-1793) .

A Canonical já declarou as versões de openssl que não são afetados com versões atualmente suportadas.

Estou usando a versão 1.0.1f-1ubuntu2.8 de openssl (pode ser encontrada com apt-cache policy openssl ) em 14.04 , mas estou usando a versão não afetada da Canonical para 14.04 is 1.0.1f-1ubuntu2.15 . Mas não existe tal versão disponível no repositório (por que ainda não?).

Minhas perguntas são:

  • Isso significa que estou vulnerável ao CVE-2015-1793?

  • E obviamente o que exatamente é o CVE-2015-1793? Como isso pode me afetar?

por heemayl 09.07.2015 / 22:33

2 respostas

6

Por favor, note:

Esta vulnerabilidade mais recente (CVE-2015-1793) foi introduzida em uma atualização recente do pacote OpenSSL (mantida pelo OpenSSL.org).

O mais recente aviso da OpenSSL: link

Isto não deve afetar a instalação do standard Ubuntu.

de: ComputerWorld > > OpenSSL corrige falha grave (9 de julho de 2015)

" .. os pacotes OpenSSL distribuídos com algumas distribuições Linux - incluindo Red Hat, Debian e Ubuntu - não são afetados . Isso porque as distribuições Linux normalmente suportam as correções de segurança em seus pacotes em vez de atualizá-los completamente para novas versões. ".

Nota: Você ainda pode ser afetado, se você estiver usando o pacote OpenSSL (ou fonte) diretamente do OpenSSL.org.

    
por david6 10.07.2015 / 01:10
2

Não, você não está vulnerável ao CVE-2015-1793, mas provavelmente está vulnerável a vários outros bugs. A versão mais recente da versão do Ubuntu Security Team está no trusty-updates e trusty-security repositories conforme esperado (veja as FAQ da equipe de segurança ) e o rastreador CVE diz que não é afetado. Se você ainda não consegue ver esta versão, confira:

  • se você tiver ativado trusty-security e trusty-updates repositórios
  • se o seu espelho (se não for oficial) tiver ficado para trás na sincronização (verifique Launchpad )
  • se você tiver o repositório security.ubuntu.com ativado (ele está ativado por padrão)

O último ponto é importante. Já que security.ubuntu.com é um alias para o repositório principal , e é ativado por padrão para o canal -security , você deve sempre ter acesso a quaisquer correções de segurança publicadas pelo Ubuntu. Por exemplo: 

$ apt-cache policy openssl      
openssl:
  Installed: 1.0.1f-1ubuntu2.11
  Candidate: 1.0.1f-1ubuntu2.15
  Version table:
     1.0.1f-1ubuntu2.15 0
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
 *** 1.0.1f-1ubuntu2.11 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-security/main amd64 Packages
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1f-1ubuntu2 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty/main amd64 Packages
    
por muru 09.07.2015 / 23:01

Tags

Como dividir um arquivo grande? Como sair do terminal virtual?