Что такое CVE-2015-1793? Это влияет на меня?

Question 1

По-видимому, новая ошибка была обнаружена в OpenSSL, это называют как Альтернативная подделка сертификата цепочек (CVE-2015-1793).

Канонический уже объявил версии openssl это не затронуто с в настоящее время поддерживаемыми версиями.

Я использую версию 1.0.1f-1ubuntu2.8 из openssl (может быть найден с apt-cache policy openssl) в 14.04 но accoding к Каноническому не-затрагиваемая-версия для 14.04 1.0.1f-1ubuntu2.15. Но нет такой версии, доступной в репозитории (Почему еще?).

Мои вопросы:

Это означает, что я уязвим для CVE-2015-1793?
И очевидно что такое точно CVE-2015-1793? Как это может влиять на меня?

Question 2

Отметьте:

Эта последняя уязвимость (CVE-2015-1793) была представлена в недавнем обновлении пакета OpenSSL (утвержденный OpenSSL.org).

последняя консультация OpenSSL: https://www.openssl.org/news/secadv_20150709.txt

Это не должно влиять стандарт установка Ubuntu.

<час>

от: ComputerWorld>> OpenSSL фиксирует серьезный дефект (9 июля 2015)

" .. пакеты OpenSSL, распределенные с некоторыми дистрибутивами Linux - включая Red Hat, Debian и Ubuntu - , не затронуты . Поэтому дистрибутивы Linux обычно бэкпортируют исправления безопасности в свои пакеты вместо того, чтобы полностью обновить их к новым версиям. ".

<час>

Примечание: Вы можете все еще быть затронуты при использовании пакета OpenSSL (или источник) непосредственно с OpenSSL.org.

Question 3

Question 4

Нет, Вы не уязвимы для CVE-2015-1793, но Вы, вероятно, уязвимы для нескольких других ошибок. Последняя версия от версии Службы безопасности Ubuntu находится в trusty-updates и trusty-security репозитории как ожидалось (см. служба безопасности FAQ ), и средство отслеживания CVE говорит, что это не затронуто. Если Вы еще не видите эту версию, проверьте:

, если Вы включили trusty-security и trusty-updates репозитории
, если Ваше зеркало (если не официальное) отстало в синхронизации (проверка Панель запуска )
, если Вы имеете security.ubuntu.com, репозиторий включил (это включено по умолчанию)

, последняя точка важна. С тех пор security.ubuntu.com псевдоним для основного репозитория , и он включен по умолчанию для -security канал, Вы должны всегда , имеют доступ к любым исправлениям безопасности, опубликованным Ubuntu. Например:

$ apt-cache policy openssl      
openssl:
  Installed: 1.0.1f-1ubuntu2.11
  Candidate: 1.0.1f-1ubuntu2.15
  Version table:
     1.0.1f-1ubuntu2.15 0
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
 *** 1.0.1f-1ubuntu2.11 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-security/main amd64 Packages
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1f-1ubuntu2 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty/main amd64 Packages

david6 · Accepted Answer · 1 December 2019 в 09:08

Отметьте:

Эта последняя уязвимость (CVE-2015-1793) была представлена в недавнем обновлении пакета OpenSSL (утвержденный OpenSSL.org).

последняя консультация OpenSSL: https://www.openssl.org/news/secadv_20150709.txt

Это не должно влиять стандарт установка Ubuntu.

<час>

от: ComputerWorld>> OpenSSL фиксирует серьезный дефект (9 июля 2015)

" .. пакеты OpenSSL, распределенные с некоторыми дистрибутивами Linux - включая Red Hat, Debian и Ubuntu - , не затронуты . Поэтому дистрибутивы Linux обычно бэкпортируют исправления безопасности в свои пакеты вместо того, чтобы полностью обновить их к новым версиям. ".

<час>

Примечание: Вы можете все еще быть затронуты при использовании пакета OpenSSL (или источник) непосредственно с OpenSSL.org.

Community · Answer 2 · 1 December 2019 в 09:08

Нет, Вы не уязвимы для CVE-2015-1793, но Вы, вероятно, уязвимы для нескольких других ошибок. Последняя версия от версии Службы безопасности Ubuntu находится в trusty-updates и trusty-security репозитории как ожидалось (см. служба безопасности FAQ ), и средство отслеживания CVE говорит, что это не затронуто. Если Вы еще не видите эту версию, проверьте:

, если Вы включили trusty-security и trusty-updates репозитории
, если Ваше зеркало (если не официальное) отстало в синхронизации (проверка Панель запуска )
, если Вы имеете security.ubuntu.com, репозиторий включил (это включено по умолчанию)

, последняя точка важна. С тех пор security.ubuntu.com псевдоним для основного репозитория , и он включен по умолчанию для -security канал, Вы должны всегда , имеют доступ к любым исправлениям безопасности, опубликованным Ubuntu. Например:

$ apt-cache policy openssl      
openssl:
  Installed: 1.0.1f-1ubuntu2.11
  Candidate: 1.0.1f-1ubuntu2.15
  Version table:
     1.0.1f-1ubuntu2.15 0
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
 *** 1.0.1f-1ubuntu2.11 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-security/main amd64 Packages
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1f-1ubuntu2 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty/main amd64 Packages

Что такое CVE-2015-1793? Это влияет на меня?

2 ответа

Отметьте:

Другие вопросы по тегам:

Похожие вопросы: