OpenSSL veröffentlichteine Sicherheitswarnungund warnt Benutzer vor zwei kürzlich entdeckten Schwachstellen:
- Speicherbeschädigung im ASN.1-Encoder (CVE-2016-2108)
- Padding-Oracle in der AES-NI CBC MAC-Prüfung (CVE-2016-2107)
Ihre Empfehlung lautet:
Benutzer von OpenSSL 1.0.2 sollten auf 1.0.2h aktualisieren.
Benutzer von OpenSSL 1.0.1 sollten auf 1.0.1t aktualisieren.
Die neueste für Trusty (14.04) verfügbare Version ist jedoch 1.0.1f-1ubuntu2.19. Wie kommt es, dass eine so alte Version noch immer bereitgestellt wird und wie kann ich das Problem beheben?
Antwort1
Die aktuelle Version enthält tatsächlich die Abhilfemaßnahmen für diese Schwachstellen. Anstatt mit den OpenSSL-Versionen Schritt zu halten, zieht es das Sicherheitsteam vor, Korrekturen zurückzuportieren.
Sie können bestätigen, dass das Paket die Risikominderung für die in der Frage aufgeführten CVEs enthält, indem Sie die Debian-Verpackung für das opensslPaket herunterladen:
apt-get source openssl
Sie finden eine Datei mit dem Namen openssl_1.0.1f-1ubuntu2.19.debian.tar.gzim aktuellen Verzeichnis. Extrahieren Sie den Inhalt und listen Sie den Inhalt auf debian/patches:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108-2.patch ...