OpenSSL lançadoum aviso de segurança, alertando os usuários sobre duas vulnerabilidades descobertas recentemente:
- Corrupção de memória no codificador ASN.1 (CVE-2016-2108)
- Oráculo de preenchimento na verificação AES-NI CBC MAC (CVE-2016-2107)
A recomendação deles é a seguinte:
Usuários do OpenSSL 1.0.2 devem atualizar para 1.0.2h
Usuários do OpenSSL 1.0.1 devem atualizar para 1.0.1t
No entanto, a versão mais recente disponível para Trusty (14.04) é 1.0.1f-1ubuntu2.19. Por que uma versão tão antiga ainda está sendo fornecida e como posso atenuar isso?
Responder1
A versão atual de fato inclui mitigações para essas vulnerabilidades. Em vez de acompanhar os lançamentos do OpenSSL, a equipe de segurança prefere fazer backport das correções.
Você pode confirmar se o pacote contém a mitigação para os CVEs listados na pergunta baixando o pacote Debian do opensslpacote:
apt-get source openssl
Você encontrará um arquivo nomeado openssl_1.0.1f-1ubuntu2.19.debian.tar.gzno diretório atual. Extraia o conteúdo e liste o conteúdo de debian/patches:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108-2.patch ...