Pourquoi Trusty n'a-t-il pas reçu les mises à jour pour les CVE-2016-2108 et CVE-2016-2107 d'OpenSSL?
OpenSSL publié avis de sécurité , avertissant les utilisateurs de deux vulnérabilités découvertes récemment:
- Corruption de mémoire dans le codeur ASN.1 (CVE-2016-2108)
- Rembourrage d'Oracle dans le contrôle MAC AES-NI CBC (CVE-2016-2107)
Leur recommandation est la suivante:
Les utilisateurs d'OpenSSL 1.0.2 doivent passer à la version 1.0.2h
Les utilisateurs d’OpenSSL 1.0.1 doivent passer à la version 1.0.1t.
Cependant, la dernière version disponible pour Trusty (14.04) est 1.0.1f-1ubuntu2.19. Comment se fait-il qu'une telle ancienne version soit toujours fournie et comment puis-je remédier à cela?
La version actuelle inclut en effet les mesures d'atténuation de ces vulnérabilités. Plutôt que de suivre les versions d'OpenSSL, l'équipe de sécurité préfère reporter les correctifs.
Vous pouvez confirmer que le paquet contient l'atténuation des CVE énumérés dans la question en téléchargeant le paquetage Debian pour le paquet openssl:
apt-get source openssl
Vous trouverez un fichier nommé openssl_1.0.1f-1ubuntu2.19.debian.tar.gz dans le répertoire actuel. Extraire le contenu et lister le contenu de debian/patches:
$ ls debian/patches ... CVE-2016-2107.patch CVE-2016-2108-1.patch CVE-2016-2108- 2.patch ...