OpenSSLがリリースされましたセキュリティ勧告、最近発見された 2 つの脆弱性についてユーザーに対して警告しています。
- ASN.1 エンコーダーのメモリ破損 (CVE-2016-2108)
- AES-NI CBC MAC チェックにおけるパディング オラクル (CVE-2016-2107)
彼らの推奨事項は次のとおりです。
OpenSSL 1.0.2 ユーザーは 1.0.2h にアップグレードする必要があります
。OpenSSL 1.0.1 ユーザーは 1.0.1t にアップグレードする必要があります。
ただし、Trusty で利用できる最新バージョン (14.04) は です1.0.1f-1ubuntu2.19。なぜこのような古いバージョンがまだ提供されているのでしょうか。また、この問題を軽減するにはどうすればよいでしょうか。
答え1
現在のバージョンには、確かにこれらの脆弱性に対する緩和策が含まれています。セキュリティ チームは、OpenSSL のリリースに追随するのではなく、修正をバックポートすることを好みます。
パッケージの Debian パッケージをダウンロードすると、質問に記載されている CVE の緩和策がパッケージに含まれていることを確認できますopenssl。
apt-get source openssl
openssl_1.0.1f-1ubuntu2.19.debian.tar.gz現在のディレクトリにという名前のファイルが見つかります。その内容を抽出し、その内容を一覧表示しますdebian/patches。
$ ls debian/パッチ ... CVE-2016-2107.パッチ CVE-2016-2108-1.パッチ CVE-2016-2108-2.パッチ ...