ssllabs.com: OpenSSL Padding Oracle vuln. (CVE-2016-2107) [dубликат]
OpenSSL опубликовал рекомендацию по безопасности, предупредив пользователей о двух недавно обнаруженных уязвимостях:
Повреждение памяти в кодере ASN.1 (CVE-2016-2108) Просеивающий оракул в AES- NI CBC MAC check (CVE-2016-2107)Их рекомендация такова:
Пользователям OpenSSL 1.0.2 следует обновить до 1.0.2h. Пользователи OpenSSL 1.0.1 должны обновиться до 1.0.1tОднако последней версией, доступной для Trusty (14.04), является 1.0.1f-1ubuntu2.19. Почему такая старая версия все еще предоставляется и как мне это смягчить?
2 ответа
Текущая версия действительно включает смягчение этих уязвимостей.
Вы можете подтвердить, что пакет содержит смягчение для CVE, перечисленных в вопросе, загружая упаковку Debian для openssl package:
apt-get source openssl
В текущем каталоге вы найдете файл с именем openssl_1.0.1f-1ubuntu2.19.debian.tar.gz. Извлеките содержимое и перечислите содержимое debian/patches:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108-2.patch ...Текущая версия действительно включает смягчение этих уязвимостей.
Вы можете подтвердить, что пакет содержит смягчение для CVE, перечисленных в вопросе, загружая упаковку Debian для openssl package:
apt-get source openssl
В текущем каталоге вы найдете файл с именем openssl_1.0.1f-1ubuntu2.19.debian.tar.gz. Извлеките содержимое и перечислите содержимое debian/patches:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108-2.patch ...