OpenSSL publié avis de sécurité , avertissant les utilisateurs de deux vulnérabilités découvertes récemment:
Leur recommandation est la suivante:
Les utilisateurs d'OpenSSL 1.0.2 doivent passer à la version 1.0.2h
Les utilisateurs d’OpenSSL 1.0.1 doivent passer à la version 1.0.1t.
Cependant, la dernière version disponible pour Trusty (14.04) est 1.0.1f-1ubuntu2.19
. Comment se fait-il qu'une telle ancienne version soit toujours fournie et comment puis-je remédier à cela?
La version actuelle inclut en effet les mesures d'atténuation de ces vulnérabilités. Plutôt que de suivre les versions d'OpenSSL, l'équipe de sécurité préfère reporter les correctifs.
Vous pouvez confirmer que le paquet contient l'atténuation des CVE énumérés dans la question en téléchargeant le paquetage Debian pour le paquet openssl
:
apt-get source openssl
Vous trouverez un fichier nommé openssl_1.0.1f-1ubuntu2.19.debian.tar.gz
dans le répertoire actuel. Extraire le contenu et lister le contenu de debian/patches
:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108- 2.patch ...