web-dev-qa-db-fra.com

Toutes les versions d'Ubuntu sont-elles sécurisées contre les attaques de DROWN?

OpenSSL met à jour les versions 1.0.2g et 1.0.1s pour corriger la vulnérabilité DROWN ( CVE-2016-08 ). Dans Ubuntu 14.04 LTS Trusty Tahr, la dernière version de OpenSSL est 1.0.1f-1ubuntu2.18 . Dois-je bien comprendre que les correctifs de DROWN n'ont pas été rétroportés sur Trusty? Les correctifs de DROWN doivent-ils être incorporés à n’importe quelle version d’Ubuntu?

9
talamaki

CVE-2016-08 :

Priorité Moyenne

Description

Le protocole SSLv2, utilisé dans OpenSSL avant 1.0.1s et 1.0.2 avant 1.0.2g et d'autres produits, oblige un serveur à envoyer un message ServerVerify avant d'établir que le client possède certaines données RSA en texte brut, ce qui facilite la tâche des attaquants distants. pour décrypter les données cryptographiques TLS en utilisant un Oracle Bleichenbacher RSA, également appelé attaque "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

  • DNE = n'existe pas
  • Ubuntu n'est pas concerné par ce problème.
17
Rinzwind