OpenSSL
met à jour les versions 1.0.2g et 1.0.1s pour corriger la vulnérabilité DROWN ( CVE-2016-08 ). Dans Ubuntu 14.04 LTS Trusty Tahr, la dernière version de OpenSSL
est 1.0.1f-1ubuntu2.18 . Dois-je bien comprendre que les correctifs de DROWN n'ont pas été rétroportés sur Trusty? Les correctifs de DROWN doivent-ils être incorporés à n’importe quelle version d’Ubuntu?
Priorité Moyenne
Description
Le protocole SSLv2, utilisé dans OpenSSL avant 1.0.1s et 1.0.2 avant 1.0.2g et d'autres produits, oblige un serveur à envoyer un message ServerVerify avant d'établir que le client possède certaines données RSA en texte brut, ce qui facilite la tâche des attaquants distants. pour décrypter les données cryptographiques TLS en utilisant un Oracle Bleichenbacher RSA, également appelé attaque "DROWN".
Package
Source: openssl098 (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04: DNE
Ubuntu 15.10 (Wily Werewolf): DNE
Ubuntu 16.04 (Xenial Xerus): DNE
Package
Source: openssl (LP Ubuntu Debian)
Upstream: needs-triage
Ubuntu 12.04 LTS (Precise Pangolin): not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04: not-affected
Ubuntu 15.10 (Wily Werewolf): not-affected
Ubuntu 16.04 (Xenial Xerus): not-affected