OpenSSLがリリースされました セキュリティアドバイザリ 、最近発見された2つの脆弱性についてユーザーに警告:
推奨事項は次のとおりです。
OpenSSL 1.0.2ユーザーは1.0.2hにアップグレードする必要があります
OpenSSL 1.0.1ユーザーは1.0.1tにアップグレードする必要があります
ただし、Trusty(14.04)で利用可能な最新バージョンは1.0.1f-1ubuntu2.19
です。なぜこのような古いバージョンがまだ提供されているのですか?これをどのように軽減するのですか?
実際、現在のバージョンにはこれらの脆弱性の緩和策が含まれています。セキュリティチームは、OpenSSLのリリースに遅れずについていくよりも、修正をバックポートすることを好みます。
openssl
パッケージのDebianパッケージをダウンロードすることで、質問にリストされているCVEの緩和策がパッケージに含まれていることを確認できます。
apt-get source openssl
現在のディレクトリにopenssl_1.0.1f-1ubuntu2.19.debian.tar.gz
という名前のファイルがあります。 debian/patches
のコンテンツを抽出してリストします:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108- 2.パッチ ...