为什么Trusty没有收到OpenSSL的CVE-2016-2108和CVE-2016-2107的更新?
OpenSSL发布了一个安全公告 ,警告用户最近发现的两个漏洞:
- ASN.1编码器中的内存损坏(CVE-2016-2108)
- 在AES-NI CBC MAC检查中填充oracle(CVE-2016-2107)
他们的建议如下:
OpenSSL 1.0.2用户应该升级到1.0.2h
OpenSSL 1.0.1用户应该升级到1.0.1t
但是,Trusty(14.04)的最新版本是1.0.1f-1ubuntu2.19
。 为什么还提供这样一个旧版本,我该如何缓解这个问题呢?
当前版本确实包括这些漏洞的缓解措施。 安全团队没有跟上OpenSSL版本,而是更喜欢向后端口修复。
您可以通过下载openssl
软件包的Debian软件包来确认软件包是否包含问题中列出的CVE的缓解:
apt-get source openssl
您将在当前目录中找到名为openssl_1.0.1f-1ubuntu2.19.debian.tar.gz
的文件。 提取内容并列出debian/patches
的内容:
$ ls debian / patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108-2.patch ...