所有版本的 Ubuntu 都能抵御 DROWN 攻击吗?

所有版本的 Ubuntu 都能抵御 DROWN 攻击吗?

OpenSSL更新发布版本1.0.2g 和 1.0.1s修复 DROWN 漏洞(CVE-2016-0800)。在 Ubuntu 14.04 LTS Trusty Tahr 中,最新OpenSSL版本是1.0.1f-1ubuntu2.18。我是否理解正确,DROWN 修复尚未移植到 Trusty?是否需要将 DROWN 修复纳入任何 Ubuntu 版本?

答案1

CVE-2016-0800

优先中

描述

SSLv2 协议(在 OpenSSL 1.0.1s 之前版本和 1.0.2 1.0.2g 之前版本以及其他产品中使用)要求服务器在确认客户端拥有某些明文 RSA 数据之前发送 ServerVerify 消息,这使得远程攻击者更容易利用 Bleichenbacher RSA 填充 oracle(又称“DROWN”攻击)解密 TLS 密文数据。

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

  • DNE = 不存在
  • Ubuntu 不受该问题的影响。

相关内容