TrustyがOpenSSLのCVE-2016-2108およびCVE-2016-2107のアップデートを受け取っていないのはなぜですか?
OpenSSLがリリースされました セキュリティアドバイザリ 、最近発見された2つの脆弱性についてユーザーに警告:
- ASN.1エンコーダーのメモリ破損(CVE-2016-2108)
- AES-NI CBC MACチェックでのOracleのパディング(CVE-2016-2107)
推奨事項は次のとおりです。
OpenSSL 1.0.2ユーザーは1.0.2hにアップグレードする必要があります
OpenSSL 1.0.1ユーザーは1.0.1tにアップグレードする必要があります
ただし、Trusty(14.04)で利用可能な最新バージョンは1.0.1f-1ubuntu2.19です。なぜこのような古いバージョンがまだ提供されているのですか?これをどのように軽減するのですか?
実際、現在のバージョンにはこれらの脆弱性の緩和策が含まれています。セキュリティチームは、OpenSSLのリリースに遅れずについていくよりも、修正をバックポートすることを好みます。
opensslパッケージのDebianパッケージをダウンロードすることで、質問にリストされているCVEの緩和策がパッケージに含まれていることを確認できます。
apt-get source openssl
現在のディレクトリにopenssl_1.0.1f-1ubuntu2.19.debian.tar.gzという名前のファイルがあります。 debian/patchesのコンテンツを抽出してリストします:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108- 2.パッチ ...