Toutes les versions d'Ubuntu sont-elles sécurisées contre les attaques DROWN?


9

OpenSSLmet à jour les versions 1.0.2g et 1.0.1s pour corriger la vulnérabilité DROWN ( CVE-2016-0800 ). Dans Ubuntu 14.04 LTS Trusty Tahr, la dernière OpenSSLversion est 1.0.1f-1ubuntu2.18 . Dois-je comprendre correctement que les correctifs DROWN n'ont pas été rétroportés vers Trusty? Les correctifs DROWN doivent-ils être intégrés à toutes les versions d'Ubuntu?



@ArupRoyChowdhury cette mise à jour ne mentionne pas CVE-2016-0800 mais ceux-ci: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799
talamaki


DROWN est un ancien problème - affecte SSLv2. SSLv2 est désactivé dans Ubuntu OpenSSL.
Thomas Ward

Réponses:


17

CVE-2016-0800 :

Priorité moyenne

La description

Le protocole SSLv2, tel qu'utilisé dans OpenSSL avant 1.0.1s et 1.0.2 avant 1.0.2g et d'autres produits, nécessite qu'un serveur envoie un message ServerVerify avant d'établir qu'un client possède certaines données RSA en texte clair, ce qui facilite la tâche des attaquants distants pour décrypter les données de texte chiffré TLS en exploitant un oracle de remplissage Bleichenbacher RSA, alias une attaque "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

  • DNE = n'existe pas
  • Ubuntu n'est pas concerné par ce problème.
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.