Pertanyaan Apakah semua versi Ubuntu aman terhadap serangan DROWN?


OpenSSL memperbarui versi rilis 1.0.2g dan 1.0.1s untuk memperbaiki kerentanan DROWN (CVE-2016-0800). Di Ubuntu 14.04 LTS Trusty Tahr, yang terbaru OpenSSL versi adalah 1.0.1f-1ubuntu2.18. Apakah saya memahaminya dengan benar bahwa perbaikan DROWN belum didukung ke Amanah? Apakah perbaikan DROWN perlu dimasukkan ke dalam versi Ubuntu?


9
2018-03-04 08:28


asal


ubuntu.com/usn/usn-2914-1 semua selesai. - Arup Roy Chowdhury
@ArupRoyChowdhury pembaruan itu tidak menyebutkan CVE-2016-0800 tetapi ini: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799 - talamaki
Kemungkinan duplikat dari Bagaimana saya bisa tahu apakah CVE telah diperbaiki di repositori Ubuntu? - muru
DROWN adalah masalah lama - memengaruhi SSLv2. SSLv2 dinonaktifkan di Ubuntu OpenSSL. - Thomas Ward♦


Jawaban:


CVE-2016-0800:

Media Prioritas

Deskripsi

Protokol SSLv2, seperti yang digunakan dalam OpenSSL sebelum 1.0.1s dan 1.0.2 sebelumnya   1.0.2g dan produk lainnya, membutuhkan server untuk mengirim pesan ServerVerify   sebelum menetapkan bahwa klien memiliki data RSA plaintext tertentu,   yang mempermudah penyerang jauh untuk mendekripsi data ciphertext TLS   dengan memanfaatkan oracle padding Bleichenbacher RSA, alias serangan "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

  • DNE = tidak ada
  • Ubuntu tidak terpengaruh oleh masalah ini.

17
2018-03-04 10:51