显然,OpenSSL 中发现了一个新的错误,它被称为替代链证书伪造(CVE-2015-1793)。
Canonical已经声明当前支持的版本openssl不受影响。
我正在使用1.0.1f-1ubuntu2.8的版本openssl(可以apt-cache policy openssl在 中找到),14.04但根据 Canonical 的说法, 的不受影响的版本14.04是1.0.1f-1ubuntu2.15。但存储库中没有这样的版本可用(为什么还没有?)。
我的问题是:
这是否意味着我容易受到 CVE-2015-1793 的攻击?
那么 CVE-2015-1793 到底是什么?它会对我造成什么影响?
答案1
请注意:
此最新漏洞(CVE-2015-1793)是在 OpenSSL 软件包(由 OpenSSL.org 维护)的最新更新中引入的。
OpenSSL 的最新公告:https://www.openssl.org/news/secadv_20150709.txt
这不应该影响标准Ubuntu 安装。
从:ComputerWorld >> OpenSSL 修复严重漏洞(2015 年 7 月 9 日)
“.. OpenSSL 软件包随一些 Linux 发行版一起发布 - 包括 Red Hat、Debian 和 Ubuntu -不受影响。这是因为 Linux 发行版通常会将安全修复程序反向移植到其软件包中,而不是将其完全更新到新版本。“。
笔记: 如果您直接从 OpenSSL.org 使用 OpenSSL 包(或源),您可能仍会受到影响。
答案2
不,您不会受到 CVE-2015-1793 的攻击,但您可能受到其他几个漏洞的攻击。Ubuntu 安全团队最新版本位于trusty-updates和trusty-security存储库如预期的那样(参见安全团队常见问题解答),CVE 跟踪器表示不是受影响。如果您还看不到此版本,请检查:
- 如果你已经启用
trusty-security和trusty-updates存储库 - 如果你的镜像(如果不是官方镜像)同步落后(检查发射台)
- 如果你已
security.ubuntu.com启用存储库(默认情况下启用)
最后一点很重要。因为security.ubuntu.com是主存储库的别名,并且默认情况下该频道启用-security,您应该总是可以访问 Ubuntu 发布的任何安全修复程序。例如:
$ apt-cache policy openssl
openssl:
Installed: 1.0.1f-1ubuntu2.11
Candidate: 1.0.1f-1ubuntu2.15
Version table:
1.0.1f-1ubuntu2.15 0
500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
*** 1.0.1f-1ubuntu2.11 0
500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-security/main amd64 Packages
500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-updates/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1f-1ubuntu2 0
500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty/main amd64 Packages