Ubuntuのすべてのバージョンは、DROWN攻撃に対して安全ですか?

9

OpenSSLDROWNの脆弱性を修正するためにリリースバージョン1.0.2gおよび1.0.1sを更新(CVE-2016-0800)。Ubuntu 14.04 LTS Trusty Tahrでは、最新OpenSSLバージョンは1.0.1f-1ubuntu2.18です。DROWNの修正がTrustyにバックポートされていないことは正しく理解できますか?DROWN修正をUbuntuバージョンに組み込む必要はありますか?

security  openssl 
タラマキ
ソース
ubuntu.com/usn/usn-2914-1はすべて完了しました。
Arup Roy Chowdhury 2016年
@ArupRoyChowdhuryの更新ではCVE-2016-0800については言及されていませんが、CVE-2016-0702、CVE-2016-0705、CVE-2016-0797、CVE-2016-0798、CVE-2016-0799
talamaki
5
muru 2016年
DROWNは古い問題です-SSLv2に影響します。SSLv2はUbuntu OpenSSLでは無効になっています。
トーマス

回答:

17

CVE-2016-0800

優先メディア

説明文

OpenSSL 1.0.1sより前の1.0.2および1.0.2gより前の1.0.2およびその他の製品で使用されているSSLv2プロトコルでは、クライアントが特定のプレーンテキストRSAデータを所有していることを確立する前に、サーバーがServerVerifyメッセージを送信する必要があります。 Bleichenbacher RSAパディングオラクル、別名「DROWN」攻撃を利用してTLS暗号文データを復号化します。

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected
  • DNE =存在しません
  • Ubuntuはこの問題の影響を受けません。
リンツウィンド
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.