web-dev-qa-db-ja.com

TrustyがOpenSSLのCVE-2016-2108およびCVE-2016-2107のアップデートを受け取っていないのはなぜですか?

OpenSSLがリリースされました セキュリティアドバイザリ 、最近発見された2つの脆弱性についてユーザーに警告:

  • ASN.1エンコーダーのメモリ破損(CVE-2016-2108)
  • AES-NI CBC MACチェックでのOracleのパディング(CVE-2016-2107)

推奨事項は次のとおりです。

OpenSSL 1.0.2ユーザーは1.0.2hにアップグレードする必要があります
OpenSSL 1.0.1ユーザーは1.0.1tにアップグレードする必要があります

ただし、Trusty(14.04)で利用可能な最新バージョンは1.0.1f-1ubuntu2.19です。なぜこのような古いバージョンがまだ提供されているのですか?これをどのように軽減するのですか?

6
Nathan Osman

実際、現在のバージョンにはこれらの脆弱性の緩和策が含まれています。セキュリティチームは、OpenSSLのリリースに遅れずについていくよりも、修正をバックポートすることを好みます。

opensslパッケージのDebianパッケージをダウンロードすることで、質問にリストされているCVEの緩和策がパッケージに含まれていることを確認できます。

apt-get source openssl

現在のディレクトリにopenssl_1.0.1f-1ubuntu2.19.debian.tar.gzという名前のファイルがあります。 debian/patchesのコンテンツを抽出してリストします:

$ ls debian/patches 
 ... 
 CVE-2016-2107.patch 
 CVE-2016-2108-1.patch 
 CVE-2016-2108- 2.パッチ
 ...
21
Nathan Osman