OpenSSL выпущенрекомендация по безопасности, предупреждая пользователей о двух недавно обнаруженных уязвимостях:
- Повреждение памяти в кодировщике ASN.1 (CVE-2016-2108)
- Оракул заполнения в проверке MAC AES-NI CBC (CVE-2016-2107)
Их рекомендация такова:
Пользователям OpenSSL 1.0.2 следует обновиться до версии 1.0.2h.
Пользователям OpenSSL 1.0.1 следует обновиться до версии 1.0.1t.
Однако последняя доступная версия для Trusty (14.04) — 1.0.1f-1ubuntu2.19. Почему такая старая версия все еще предоставляется и как мне смягчить это?
решение1
Текущая версия действительно включает смягчение этих уязвимостей. Вместо того, чтобы идти в ногу с релизами OpenSSL, команда безопасности предпочитает бэкпортировать исправления.
Вы можете убедиться, что пакет содержит меры по смягчению CVE, перечисленных в вопросе, загрузив пакет Debian для этого opensslпакета:
apt-get source openssl
Вы найдете файл с именем openssl_1.0.1f-1ubuntu2.19.debian.tar.gzв текущем каталоге. Извлеките содержимое и перечислите содержимое debian/patches:
$ ls debian/патчи ... CVE-2016-2107.патч CVE-2016-2108-1.патч CVE-2016-2108-2.патч ...