所有版本的Ubuntu都可以抵御DROWN攻击吗?

9

OpenSSL更新了发行版1.0.2g和1.0.1s,以修复DROWN漏洞(CVE-2016-0800)。在Ubuntu 14.04 LTS Trusty Tahr中,最新OpenSSL版本是1.0.1f-1ubuntu2.18。我是否正确理解DROWN修补程序尚未反向移植到Trusty?是否需要将DROWN修复程序合并到任何Ubuntu版本中?

security  openssl 
塔拉玛基
source
奥雅纳·罗伊·乔杜里
@ArupRoyChowdhury的更新未提及CVE-2016-0800,而是这些:CVE-2016-0702,CVE-2016-0705,CVE-2016-0797,CVE-2016-0798,CVE-2016-0799
塔拉玛基2016年
5
muru
DROWN是一个老问题-影响SSLv2。在Ubuntu OpenSSL中禁用了SSLv2。
托马斯·沃德

Answers:

17

CVE-2016-0800

优先中等

描述

在1.0.1s之前的OpenSSL和1.0.2g之前的1.0.2以及其他产品中使用的SSLv2协议要求服务器在确定客户端拥有某些纯文本RSA数据之前发送ServerVerify消息,这使远程攻击者更容易通过利用Bleichenbacher RSA填充预言(也称为“ DROWN”攻击)来解密TLS密文数据。

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected
  • DNE =不存在
  • Ubuntu不受此问题影响。
林兹风
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.