为什么Trusty没有收到OpenSSL的CVE-2016-2108和CVE-2016-2107的更新?

OpenSSL发布了一个安全公告 ,警告用户最近发现的两个漏洞:

  • ASN.1编码器中的内存损坏(CVE-2016-2108)
  • 在AES-NI CBC MAC检查中填充oracle(CVE-2016-2107)

他们的建议如下:

OpenSSL 1.0.2用户应该升级到1.0.2h
OpenSSL 1.0.1用户应该升级到1.0.1t

但是,Trusty(14.04)的最新版本是1.0.1f-1ubuntu2.19 。 为什么还提供这样一个旧版本,我该如何缓解这个问题呢?

当前版本确实包括这些漏洞的缓解措施。 安全团队没有跟上OpenSSL版本,而是更喜欢向后端口修复。

您可以通过下载openssl软件包的Debian软件包来确认软件包是否包含问题中列出的CVE的缓解: 

 apt-get source openssl

您将在当前目录中找到名为openssl_1.0.1f-1ubuntu2.19.debian.tar.gz的文件。 提取内容并列出debian/patches的内容: 

  $ ls debian / patches
 ...
 CVE-2016-2107.patch
 CVE-2016-2108-1.patch
 CVE-2016-2108-2.patch
 ...
Interesting Posts

在Ubuntu 14.04的OpenSSL中启用了哪些TLS协议?

修复nginx 1.4.6对旧openssl版本(libssl0.9.8)的依赖?

如何检查Apache在Ubuntu 12.04上使用的OpenSSL版本

在MySQL中启用SSL

更新到14.04后,OpenSSL仍然容易受到攻击

在OpenSSL中生成证书的SSLv3错误

什么是“openssl二进制文件”和“openssl开发包”?

在Ubuntu 12.04上升级OpenSSL

存储用于validationSSL证书的PEM文件在哪里?

BuildID SHA1是什么意思?