web-dev-qa-db-ja.com

UbuntuのすべてのバージョンはDROWN攻撃に対して安全ですか?

OpenSSLは、リリースバージョンを更新します 1.0.2gおよび1.0.1s DROWNの脆弱性を修正します( CVE-2016-08 )。 Ubuntu 14.04 LTS Trusty Tahrでは、最新のOpenSSLバージョンは 1.0.1f-1ubuntu2.18 です。 DROWNの修正がTrustyにバックポートされていないことを正しく理解できますか? DROWNの修正は、すべてのUbuntuバージョンに組み込む必要がありますか?

securityopenssl
9
talamaki

CVE-2016-08

優先媒体

説明

SSLv2プロトコルは、1.0.1sより前のOpenSSLおよび1.0.2gより前の1.0.2およびその他の製品で使用されており、クライアントが特定のプレーンテキストRSAデータを所有していることを確立する前に、サーバーがServerVerifyメッセージを送信する必要があります。これにより、リモートの攻撃者が容易になりますOracleを埋めるBleichenbacher RSA、別名「DROWN」攻撃を利用してTLS暗号文データを復号化する。

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected
  • DNE =存在しません
  • Ubuntuはこの問題の影響を受けません。
17
Rinzwind