OpenSSL 출시보안 권고, 최근 발견된 두 가지 취약점을 사용자에게 경고합니다.
- ASN.1 인코더의 메모리 손상(CVE-2016-2108)
- AES-NI CBC MAC 검사의 패딩 오라클(CVE-2016-2107)
그들의 권장 사항은 다음과 같습니다.
OpenSSL 1.0.2 사용자는 1.0.2h로 업그레이드해야 합니다.
OpenSSL 1.0.1 사용자는 1.0.1t로 업그레이드해야 합니다.
그러나 Trusty(14.04)에 사용 가능한 최신 버전은 1.0.1f-1ubuntu2.19. 왜 이러한 이전 버전이 계속 제공되고 있으며 이를 완화하려면 어떻게 해야 합니까?
답변1
현재 버전에는 실제로 이러한 취약점에 대한 완화 기능이 포함되어 있습니다. 보안 팀은 OpenSSL 릴리스를 유지하는 대신 수정 사항을 백포트하는 것을 선호합니다.
패키지 에 대한 Debian 패키지를 다운로드하여 패키지에 질문에 나열된 CVE에 대한 완화 기능이 포함되어 있는지 확인할 수 있습니다 openssl.
apt-get source openssl
openssl_1.0.1f-1ubuntu2.19.debian.tar.gz현재 디렉토리에서 이름이 지정된 파일을 찾을 수 있습니다 . 내용을 추출하고 다음 내용을 나열하십시오 debian/patches.
$ ls 데비안/패치 ... CVE-2016-2107.패치 CVE-2016-2108-1.패치 CVE-2016-2108-2.패치 ...