क्या Ubuntu के सभी संस्करण DROWN हमले के खिलाफ सुरक्षित हैं?

OpenSSLअद्यतन संस्करण 1.0.2g और 1.0.1 DROWN भेद्यता ( CVE-2016-0800 ) को ठीक करने के लिए । Ubuntu 14.04 LTS ट्रस्टी ताहर में, नवीनतम OpenSSLसंस्करण 1.0.1f-1ubuntu2.18 है । क्या मैं इसे सही ढंग से समझता हूं कि ड्रोन फिक्स को भरोसेमंद नहीं माना गया है? क्या ड्रोन फिक्स को किसी उबंटू संस्करणों में शामिल करने की आवश्यकता है?

security openssl

— talamaki
स्रोत

ubuntu.com/usn/usn-2914-1 सब किया।

— अरूप रॉय चौधरी

@ArupRoyChowdhury उस अपडेट में CVE-2016-0800 का उल्लेख नहीं है, लेकिन ये हैं: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0779

— talamaki

संभावित डुप्लिकेट कैसे मैं बता सकता हूं कि क्या उबंटू के रिपॉजिटरी में एक सीवीई तय किया गया है?

— मुरु

DROWN एक पुराना मुद्दा है - SSLv2 को प्रभावित करता है। SSLv2 उबंटू ओपनएसएसएल में अक्षम है।

— थॉमस वार्ड

CVE-2016-0800 :

प्राथमिकता का माध्यम

विवरण

SSLv2 प्रोटोकॉल, जिसका उपयोग OpenSSL में 1.0.1 और 1.0.2 से पहले 1.0.2g और अन्य उत्पादों से पहले किया जाता है, को सर्वर को सर्वर सेट मैसेज भेजने से पहले एक सर्वर की आवश्यकता होती है, जो यह बताता है कि क्लाइंट के पास कुछ सादा आरएसए डेटा है, जो रिमोट हमलावरों के लिए आसान बनाता है। एक Bleichenbacher RSA पैडिंग ओरेकल, उर्फ "DROWN" हमले का लाभ उठाकर TLS सिफरटेक्स्ट डेटा को डिक्रिप्ट करना।

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = मौजूद नहीं है
इस समस्या से उबंटू प्रभावित नहीं है।

— Rinzwind
स्रोत