Почему Trusty не получил обновления для OpenSSL CVE-2016-2108 и CVE-2016-2107? [duplicate]
На этот вопрос уже есть ответ здесь:
OpenSSL выпустила сообщение о безопасности, предупреждающее пользователей о двух недавно обнаруженных уязвимостях:
- Повреждение памяти в кодере ASN.1... кодере (CVE-2016-2108)
- Padding oracle в AES-NI CBC MAC check (CVE-2016-2107)
Их рекомендации таковы:
Пользователям OpenSSL 1.0.2 следует обновиться до 1.0.2h
Пользователям OpenSSL 1.0.1 следует перейти на 1.0.1t
Однако последняя версия, доступная для Trusty (14.04) - 1.0.1f-1ubuntu2.19. Почему такая старая версия все еще предоставляется и как я могу это исправить?
1 ответ
Текущая версия действительно включает смягчение для этих уязвимостей. Вместо того, чтобы не отставать от выпусков OpenSSL, служба безопасности предпочитает бэкпортировать, фиксирует.
можно подтвердить, что пакет содержит смягчение для CVEs, перечисленного в вопросе путем загрузки упаковки Debian для openssl пакет:
apt-get source openssl
Вы найдете файл названным openssl_1.0.1f-1ubuntu2.19.debian.tar.gz в текущем каталоге. Извлеките содержание и перечислите содержание debian/patches:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108-2.patch ...
-
1Спасибо за быстрый ответ на мой вопрос. К сожалению, тем не менее, это, кажется, не работает. Я создал файл " zotero.desktop" в " .local/share/applications" (на самом деле уже был файл тем именем в той папке), – Osaze 13 October 2017 в 03:38