Tất cả các phiên bản Ubuntu có an toàn trước cuộc tấn công DROWN không?

OpenSSLcập nhật phiên bản phát hành 1.0.2g và 1.0.1 để khắc phục lỗ hổng DROWN ( CVE-2016-0800 ). Trong Ubuntu 14.04 LTS Trusty Tahr, OpenSSLphiên bản mới nhất là 1.0.1f-1ubfox2.18 . Tôi có hiểu chính xác rằng các bản sửa lỗi DROWN chưa được đưa vào Trusty không? Các bản sửa lỗi DROWN có cần được kết hợp với bất kỳ phiên bản Ubuntu nào không?

security openssl

— bùa
nguồn

ubfox.com/usn/usn-2914-1 đã hoàn tất.

— Arup Roy Chowdhury

@ArupRoyChowdhury bản cập nhật đó không đề cập đến CVE-2016-0800 mà là: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

— Talamaki

Bản sao có thể có của Làm cách nào để biết CVE đã được sửa trong kho của Ubuntu chưa?

— muru

DROWN là một vấn đề cũ - ảnh hưởng đến SSLv2. SSLv2 bị vô hiệu hóa trong Ubuntu OpenSSL.

— Thomas Ward

CVE-2016-0800 :

Trung bình ưu tiên

Sự miêu tả

Giao thức SSLv2, như được sử dụng trong OpenSSL trước 1.0.1 và 1.0.2 trước 1.0.2g và các sản phẩm khác, yêu cầu máy chủ gửi tin nhắn ServerVerify trước khi thiết lập rằng máy khách sở hữu dữ liệu RSA rõ ràng, giúp kẻ tấn công từ xa dễ dàng hơn để giải mã dữ liệu bản mã TLS bằng cách tận dụng một orest padding Bleichenbacher, hay còn gọi là một cuộc tấn công "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = không tồn tại
Ubuntu không bị ảnh hưởng bởi vấn đề này.

— Gió giật
nguồn