Apparemment, un nouveau bogue a été découvert dans OpenSSL, il est appelé comme Falsification de certificat de chaînes alternatives (CVE-2015-1793) =.
Canonical déjà déclaré les versions de openssl
qui ne sont pas affectées par les versions actuellement prises en charge.
J'utilise la version 1.0.1f-1ubuntu2.8
de openssl
(peut être trouvée avec apt-cache policy openssl
) dans 14.04
, mais selon Canonical, la version non affectée pour 14.04
est 1.0.1f-1ubuntu2.15
. Mais il n’existe pas de version de ce type dans le référentiel (Pourquoi pas encore?).
Mes questions sont:
Est-ce que cela signifie que je suis vulnérable à CVE-2015-1793?
Et évidemment, qu'est-ce que CVE-2015-1793? Comment cela peut-il m'affecter?
Cette dernière vulnérabilité (CVE-2015-1793) a été introduite dans une mise à jour récente du package OpenSSL (maintenue par OpenSSL.org).
Dernier avis OpenSSL: https://www.openssl.org/news/secadv_20150709.txt
Ceci ne devrait pas affecter une installation Ubuntu standard .
de: ComputerWorld >> OpenSSL corrige une faille grave (9 juil. 2015)
" .. les packages OpenSSL distribués avec certaines distributions Linux - y compris Red Hat, Debian et Ubuntu - ne sont pas affectés Cela est dû au fait que les distributions Linux renvoient généralement des correctifs de sécurité dans leurs paquets au lieu de les mettre complètement à jour vers les nouvelles versions. ".
Remarque: Vous pouvez toujours être affecté si vous utilisez le package OpenSSL (ou la source) directement à partir de OpenSSL.org.
Non, vous n'êtes pas vulnérable à CVE-2015-1793, mais vous êtes probablement vulnérable à plusieurs autres bogues. La dernière version de la version de l'équipe de sécurité Ubuntu se trouve dans les référentiels trusty-updates
et trusty-security
(voir les FAQ de l'équipe de sécurité ) et le suivi CVE indique qu'il n'est pas affecté. Si vous ne voyez pas encore cette version, vérifiez:
trusty-security
_ et _trusty-updates
_security.ubuntu.com
_ est activé (il est activé par défaut)Le dernier point est important. Puisque _security.ubuntu.com
_ est un alias du référentiel principal , et il est activé par défaut pour le canal _-security
_, vous devriez toujours avoir accès à tous les correctifs de sécurité publiés par Ubuntu. Par exemple:
_$ apt-cache policy openssl
openssl:
Installed: 1.0.1f-1ubuntu2.11
Candidate: 1.0.1f-1ubuntu2.15
Version table:
1.0.1f-1ubuntu2.15 0
500 http://security.ubuntu.com/ubuntu/ trusty-security/main AMD64 Packages
*** 1.0.1f-1ubuntu2.11 0
500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-security/main AMD64 Packages
500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-updates/main AMD64 Packages
100 /var/lib/dpkg/status
1.0.1f-1ubuntu2 0
500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty/main AMD64 Packages
_