OpenSSL lanzadoun aviso de seguridad, advirtiendo a los usuarios sobre dos vulnerabilidades descubiertas recientemente:
- Corrupción de la memoria en el codificador ASN.1 (CVE-2016-2108)
- Oráculo de relleno en la verificación MAC de AES-NI CBC (CVE-2016-2107)
Su recomendación es la siguiente:
Los usuarios de OpenSSL 1.0.2 deben actualizar a 1.0.2h.
Los usuarios de OpenSSL 1.0.1 deben actualizar a 1.0.1t.
Sin embargo, la última versión disponible para Trusty (14.04) es 1.0.1f-1ubuntu2.19. ¿Por qué todavía se proporciona una versión tan antigua y cómo puedo mitigarlo?
Respuesta1
De hecho, la versión actual incluye mitigaciones para estas vulnerabilidades. En lugar de mantenerse al día con las versiones de OpenSSL, el equipo de seguridad prefiere respaldar las correcciones.
Puede confirmar que el paquete contiene la mitigación para los CVE enumerados en la pregunta descargando el paquete Debian para el opensslpaquete:
apt-get source openssl
Encontrará un archivo nombrado openssl_1.0.1f-1ubuntu2.19.debian.tar.gzen el directorio actual. Extraiga el contenido y enumere el contenido de debian/patches:
$ ls debian/parches ... CVE-2016-2107.parche CVE-2016-2108-1.parche CVE-2016-2108-2.parche ...