Чи всі версії Ubuntu захищені від атаки DROWN?

OpenSSLоновлення версій версій 1.0.2g та 1.0.1s для виправлення вразливості DROWN ( CVE-2016-0800 ). У Ubuntu 14.04 LTS Trusty Tahr остання OpenSSLверсія 1.0.1f-1ubuntu2.18 . Чи правильно я розумію, що виправлення DROWN не підтримували Trusty? Чи потрібні виправлення DROWN для включення до будь-якої версії Ubuntu?

security openssl

— таламакі
джерело

ubuntu.com/usn/usn-2914-1 все зроблено.

— Arup Roy Chowdhury

@ArupRoyChowdhury, яке оновлення не згадує CVE-2016-0800, але це: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

— talamaki

Можливий дублікат Як я можу визначити, чи було встановлено CVE у сховищах Ubuntu?

— муру

DROWN - стара проблема - стосується SSLv2. SSLv2 вимкнено в Ubuntu OpenSSL.

— Thomas Ward

CVE-2016-0800 :

Пріоритет середній

Опис

Протокол SSLv2, як він використовується у OpenSSL до 1.0.1s та 1.0.2 перед 1.0.2g та іншими продуктами, вимагає від сервера надсилання повідомлення ServerVerify, перш ніж встановити, що клієнт має певні дані RSA в прямому тексті, що полегшує віддалених зловмисників для дешифрування даних шифротексту TLS, використовуючи оракул Bleichenbacher RSA padding, відомий також як атака "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = не існує
На цю проблему Ubuntu не впливає.

— Rinzwind
джерело