OpenSSL
は、リリースバージョンを更新します 1.0.2gおよび1.0.1s DROWNの脆弱性を修正します( CVE-2016-08 )。 Ubuntu 14.04 LTS Trusty Tahrでは、最新のOpenSSL
バージョンは 1.0.1f-1ubuntu2.18 です。 DROWNの修正がTrustyにバックポートされていないことを正しく理解できますか? DROWNの修正は、すべてのUbuntuバージョンに組み込む必要がありますか?
優先媒体
説明
SSLv2プロトコルは、1.0.1sより前のOpenSSLおよび1.0.2gより前の1.0.2およびその他の製品で使用されており、クライアントが特定のプレーンテキストRSAデータを所有していることを確立する前に、サーバーがServerVerifyメッセージを送信する必要があります。これにより、リモートの攻撃者が容易になりますOracleを埋めるBleichenbacher RSA、別名「DROWN」攻撃を利用してTLS暗号文データを復号化する。
Package
Source: openssl098 (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04: DNE
Ubuntu 15.10 (Wily Werewolf): DNE
Ubuntu 16.04 (Xenial Xerus): DNE
Package
Source: openssl (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04: not-affected
Ubuntu 15.10 (Wily Werewolf): not-affected
Ubuntu 16.04 (Xenial Xerus): not-affected