OpenSSL更新发布版本1.0.2g 和 1.0.1s以修复 DROWN 漏洞 ( CVE-2016-0800 )。在 Ubuntu 14.04 LTS Trusty Tahr 中,最新OpenSSL版本是1.0.1f-1ubuntu2.18。我是否正确理解 DROWN 修复程序尚未向后移植到 Trusty?是否需要将 DROWN 修复程序合并到任何 Ubuntu 版本中?
Rin*_*ind 17
优先媒体
描述
1.0.1s之前的OpenSSL和1.0.2g之前的1.0.2等产品中使用的SSLv2协议,需要服务器在确定客户端拥有某些明文RSA数据之前发送ServerVerify消息,这使得远程攻击者更容易通过利用 Bleichenbacher RSA padding oracle(又名“DROWN”攻击)解密 TLS 密文数据。
Package
Source: openssl098 (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04: DNE
Ubuntu 15.10 (Wily Werewolf): DNE
Ubuntu 16.04 (Xenial Xerus): DNE
Package
Source: openssl (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04: not-affected
Ubuntu 15.10 (Wily Werewolf): not-affected
Ubuntu 16.04 (Xenial Xerus): not-affected