OpenSSL更新发布版本1.0.2g 和 1.0.1s修复 DROWN 漏洞(CVE-2016-0800)。在 Ubuntu 14.04 LTS Trusty Tahr 中,最新OpenSSL版本是1.0.1f-1ubuntu2.18。我是否理解正确,DROWN 修复尚未移植到 Trusty?是否需要将 DROWN 修复纳入任何 Ubuntu 版本?
答案1
优先中
描述
SSLv2 协议(在 OpenSSL 1.0.1s 之前版本和 1.0.2 1.0.2g 之前版本以及其他产品中使用)要求服务器在确认客户端拥有某些明文 RSA 数据之前发送 ServerVerify 消息,这使得远程攻击者更容易利用 Bleichenbacher RSA 填充 oracle(又称“DROWN”攻击)解密 TLS 密文数据。
Package
Source: openssl098 (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04: DNE
Ubuntu 15.10 (Wily Werewolf): DNE
Ubuntu 16.04 (Xenial Xerus): DNE
Package
Source: openssl (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04: not-affected
Ubuntu 15.10 (Wily Werewolf): not-affected
Ubuntu 16.04 (Xenial Xerus): not-affected
- DNE = 不存在
- Ubuntu 不受该问题的影响。