it-swarm.com.de

Warum hat Trusty keine Updates für OpenSSLs CVE-2016-2108 und CVE-2016-2107 erhalten?

OpenSSL veröffentlicht ein Sicherheitshinweis , der Benutzer vor zwei kürzlich entdeckten Sicherheitslücken warnt:

  • Speicherbeschädigung im ASN.1-Encoder (CVE-2016-2108)
  • Auffüllen von Oracle in AES-NI-CBC-MAC-Prüfung (CVE-2016-2107)

Ihre Empfehlung lautet wie folgt:

OpenSSL 1.0.2-Benutzer sollten ein Upgrade auf 1.0.2h durchführen
OpenSSL 1.0.1-Benutzer sollten ein Upgrade auf 1.0.1t durchführen

Die neueste Version für Trusty (14.04) ist jedoch 1.0.1f-1ubuntu2.19. Wie kommt es, dass eine so alte Version noch zur Verfügung gestellt wird und wie kann ich das abmildern?

6
Nathan Osman

Die aktuelle Version enthält in der Tat die Abhilfemaßnahmen für diese Sicherheitsanfälligkeiten. Anstatt mit den OpenSSL-Releases Schritt zu halten, zieht das Sicherheitsteam das Backportieren von Fixes vor.

Sie können bestätigen, dass das Paket die Minderung für die in der Frage aufgelisteten CVEs enthält, indem Sie das Debian-Paket für das Paket openssl herunterladen:

apt-get source openssl

Sie finden eine Datei mit dem Namen openssl_1.0.1f-1ubuntu2.19.debian.tar.gz im aktuellen Verzeichnis. Extrahieren Sie den Inhalt und listen Sie den Inhalt von debian/patches auf:

$ ls debian/patches 
 ... 
 CVE-2016-2107.patch 
 CVE-2016-2108-1.patch 
 CVE-2016-2108- 2.Patch 
 ...
21
Nathan Osman