OpenSSL 發布安全諮詢,警告用戶最近發現的兩個漏洞:
- ASN.1 編碼器中的記憶體損壞 (CVE-2016-2108)
- 在 AES-NI CBC MAC 檢查中填入 oracle (CVE-2016-2107)
他們的建議如下:
OpenSSL 1.0.2 用戶應升級至 1.0.2h
OpenSSL 1.0.1 用戶應升級至 1.0.1t
但是,可用於 Trusty (14.04) 的最新版本是1.0.1f-1ubuntu2.19.為什麼仍然提供這麼舊的版本?
答案1
目前版本確實包含針對這些漏洞的緩解措施。安全團隊更願意向後移植修復程序,而不是跟上 OpenSSL 版本的步伐。
您可以透過下載該軟體包的 Debian 軟體包來確認該軟體包包含問題中列出的 CVE 的緩解openssl:
apt-get source openssl
您將openssl_1.0.1f-1ubuntu2.19.debian.tar.gz在目前目錄中找到一個名為的檔案。擷取內容並列出 的內容debian/patches:
$ ls debian/補丁 … CVE-2016-2107.補丁 CVE-2016-2108-1.補丁 CVE-2016-2108-2.補丁 …