web-dev-qa-db-fra.com

Qu'est-ce que CVE-2015-1793? Cela me concerne?

Apparemment, un nouveau bogue a été découvert dans OpenSSL, il est appelé comme Falsification de certificat de chaînes alternatives (CVE-2015-1793) =.

Canonical déjà déclaré les versions de openssl qui ne sont pas affectées par les versions actuellement prises en charge.

J'utilise la version 1.0.1f-1ubuntu2.8 de openssl (peut être trouvée avec apt-cache policy openssl) dans 14.04, mais selon Canonical, la version non affectée pour 14.04 est 1.0.1f-1ubuntu2.15. Mais il n’existe pas de version de ce type dans le référentiel (Pourquoi pas encore?).

Mes questions sont:

  • Est-ce que cela signifie que je suis vulnérable à CVE-2015-1793?

  • Et évidemment, qu'est-ce que CVE-2015-1793? Comment cela peut-il m'affecter?

4
heemayl

Notez s'il vous plaît:

Cette dernière vulnérabilité (CVE-2015-1793) a été introduite dans une mise à jour récente du package OpenSSL (maintenue par OpenSSL.org).

Dernier avis OpenSSL: https://www.openssl.org/news/secadv_20150709.txt

Ceci ne devrait pas affecter une installation Ubuntu standard .


de: ComputerWorld >> OpenSSL corrige une faille grave (9 juil. 2015)

" .. les packages OpenSSL distribués avec certaines distributions Linux - y compris Red Hat, Debian et Ubuntu - ne sont pas affectés Cela est dû au fait que les distributions Linux renvoient généralement des correctifs de sécurité dans leurs paquets au lieu de les mettre complètement à jour vers les nouvelles versions. ".


Remarque: Vous pouvez toujours être affecté si vous utilisez le package OpenSSL (ou la source) directement à partir de OpenSSL.org.

6
david6

Non, vous n'êtes pas vulnérable à CVE-2015-1793, mais vous êtes probablement vulnérable à plusieurs autres bogues. La dernière version de la version de l'équipe de sécurité Ubuntu se trouve dans les référentiels trusty-updates et trusty-security (voir les FAQ de l'équipe de sécurité ) et le suivi CVE indique qu'il n'est pas affecté. Si vous ne voyez pas encore cette version, vérifiez:

  • si vous avez activé les référentiels _trusty-security_ et _trusty-updates_
  • si votre miroir (s'il n'est pas officiel) a pris du retard dans la synchronisation (cochez Launchpad )
  • si le référentiel _security.ubuntu.com_ est activé (il est activé par défaut)

Le dernier point est important. Puisque _security.ubuntu.com_ est un alias du référentiel principal , et il est activé par défaut pour le canal _-security_, vous devriez toujours avoir accès à tous les correctifs de sécurité publiés par Ubuntu. Par exemple:

_$ apt-cache policy openssl      
openssl:
  Installed: 1.0.1f-1ubuntu2.11
  Candidate: 1.0.1f-1ubuntu2.15
  Version table:
     1.0.1f-1ubuntu2.15 0
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main AMD64 Packages
 *** 1.0.1f-1ubuntu2.11 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-security/main AMD64 Packages
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty-updates/main AMD64 Packages
        100 /var/lib/dpkg/status
     1.0.1f-1ubuntu2 0
        500 http://mirror.cse.iitk.ac.in/ubuntu/ trusty/main AMD64 Packages
_
2
muru