OpenSSL 发布安全公告,警告用户最近发现两个漏洞:
- ASN.1 编码器中的内存损坏(CVE-2016-2108)
- AES-NI CBC MAC 检查中的填充 oracle (CVE-2016-2107)
他们的建议如下:
OpenSSL 1.0.2 用户应升级至 1.0.2h
OpenSSL 1.0.1 用户应升级至 1.0.1t
但是,Trusty (14.04) 的最新版本是1.0.1f-1ubuntu2.19。为什么仍然提供这么旧的版本?我该如何缓解这种情况?
答案1
当前版本确实包含了针对这些漏洞的缓解措施。安全团队更愿意反向移植修复程序,而不是跟上 OpenSSL 的发布。
您可以通过下载该软件包的 Debian 打包文件来确认该软件包包含问题中列出的 CVE 的缓解措施openssl:
apt-get source openssl
您将在当前目录中找到一个名为的文件openssl_1.0.1f-1ubuntu2.19.debian.tar.gz。提取内容并列出以下内容debian/patches:
$ ls debian/补丁 ... CVE-2016-2107.补丁 CVE-2016-2108-1.补丁 CVE-2016-2108-2.补丁 ...