Apakah semua versi Ubuntu aman terhadap serangan DROWN?

9

OpenSSLmemperbarui versi rilis 1.0.2g dan 1.0.1 untuk memperbaiki kerentanan DROWN ( CVE-2016-0800 ). Di Ubuntu 14.04 LTS Trusty Tahr, OpenSSLversi terbaru adalah 1.0.1f-1ubuntu2.18 . Apakah saya memahaminya dengan benar bahwa perbaikan DROWN belum di-backport ke Trusty? Apakah perbaikan DROWN perlu dimasukkan ke versi Ubuntu apa saja?

security openssl talamaki
sumber
ubuntu.com/usn/usn-2914-1 semuanya selesai.
Arup Roy Chowdhury
@ArupRoyChowdhury bahwa pembaruan tidak menyebutkan CVE-2016-0800 tetapi ini: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799
talamaki
5
Kemungkinan duplikat dari Bagaimana saya bisa tahu apakah CVE telah diperbaiki di repositori Ubuntu?
muru
DROWN adalah masalah lama - memengaruhi SSLv2. SSLv2 dinonaktifkan di Ubuntu OpenSSL.
Thomas Ward

Jawaban:

17

CVE-2016-0800 :

Medium Prioritas

Deskripsi

Protokol SSLv2, seperti yang digunakan dalam OpenSSL sebelum 1.0.1s dan 1.0.2 sebelum 1.0.2g dan produk lainnya, memerlukan server untuk mengirim pesan ServerVerifikasi sebelum menetapkan bahwa klien memiliki data RSA plaintext tertentu, yang memudahkan penyerang jarak jauh untuk mendekripsi data ciphertext TLS dengan memanfaatkan oracle padding Bleichenbacher RSA, alias serangan "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected
  • DNE = tidak ada
  • Ubuntu tidak terpengaruh oleh masalah ini.
Rinzwind
sumber