Czy wszystkie wersje Ubuntu są zabezpieczone przed atakiem DROWN?

OpenSSLaktualizuje wersje wydania 1.0.2g i 1.0.1s, aby naprawić lukę DROWN ( CVE-2016-0800 ). W Ubuntu 14.04 LTS Trusty Tahr najnowsza OpenSSLwersja to 1.0.1f-1ubuntu2.18 . Czy rozumiem poprawnie, że poprawki DROWN nie zostały przeniesione do Trusty? Czy poprawki DROWN muszą być dołączone do jakichkolwiek wersji Ubuntu?

security openssl

— talamaki
źródło

ubuntu.com/usn/usn-2914-1 wszystko gotowe.

— Arup Roy Chowdhury,

@ArupRoyChowdhury ta aktualizacja nie wspomina o CVE-2016-0800, ale te: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

— talamaki

Możliwy duplikat Skąd mam wiedzieć, czy CVE został naprawiony w repozytoriach Ubuntu?

— muru

DROWN to stary problem - dotyczy protokołu SSLv2. SSLv2 jest wyłączony w Ubuntu OpenSSL.

— Thomas Ward

CVE-2016-0800 :

Średni priorytet

Opis

Protokół SSLv2, używany w OpenSSL przed 1.0.1s i 1.0.2 przed 1.0.2g i innymi produktami, wymaga od serwera wysłania komunikatu ServerVerify przed ustaleniem, że klient posiada pewne dane RSA w postaci zwykłego tekstu, co ułatwia zdalnym atakującym w celu odszyfrowania danych zaszyfrowanych TLS za pomocą wyroczni Bleichenbacher RSA, czyli ataku „DROWN”.

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = nie istnieje
Problem nie dotyczy systemu Ubuntu.

— Rinzwind
źródło