На этот вопрос уже есть ответ здесь:
OpenSSL выпустила сообщение о безопасности, предупреждающее пользователей о двух недавно обнаруженных уязвимостях:
Их рекомендации таковы:
Пользователям OpenSSL 1.0.2 следует обновиться до 1.0.2h
Пользователям OpenSSL 1.0.1 следует перейти на 1.0.1t
Однако последняя версия, доступная для Trusty (14.04) - 1.0.1f-1ubuntu2.19
. Почему такая старая версия все еще предоставляется и как я могу это исправить?
Текущая версия действительно включает смягчение для этих уязвимостей. Вместо того, чтобы не отставать от выпусков OpenSSL, служба безопасности предпочитает бэкпортировать, фиксирует.
можно подтвердить, что пакет содержит смягчение для CVEs, перечисленного в вопросе путем загрузки упаковки Debian для openssl
пакет:
apt-get source openssl
Вы найдете файл названным openssl_1.0.1f-1ubuntu2.19.debian.tar.gz
в текущем каталоге. Извлеките содержание и перечислите содержание debian/patches
:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108-2.patch ...