Tutte le versioni di Ubuntu sono sicure contro gli attacchi DROWN?

OpenSSLaggiorna le versioni 1.0.2g e 1.0.1s per correggere la vulnerabilità DROWN ( CVE-2016-0800 ). In Ubuntu 14.04 LTS Trusty Tahr, l'ultima OpenSSLversione è 1.0.1f-1ubuntu2.18 . Capisco correttamente che le correzioni DROWN non sono state trasferite su Trusty? Le correzioni DROWN devono essere incorporate in qualsiasi versione di Ubuntu?

security openssl

— talamaki
fonte

ubuntu.com/usn/usn-2914-1 tutto fatto.

— Arup Roy Chowdhury,

@ArupRoyChowdhury che l'aggiornamento non menziona CVE-2016-0800 ma questi: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

— talamaki

Possibile duplicato di Come posso sapere se un CVE è stato corretto nei repository di Ubuntu?

— Muru,

DROWN è un vecchio problema - riguarda SSLv2. SSLv2 è disabilitato in Ubuntu OpenSSL.

— Thomas Ward

CVE-2016-0800 :

Priorità media

Descrizione

Il protocollo SSLv2, utilizzato in OpenSSL prima della 1.0.1s e 1.0.2 prima della 1.0.2 ge altri prodotti, richiede che un server invii un messaggio ServerVerify prima di stabilire che un client possiede determinati dati RSA in chiaro, il che semplifica gli attaccanti remoti per decrittografare i dati cifrati TLS sfruttando un oracolo di imbottitura RSA Bleichenbacher, noto anche come attacco "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = non esiste
Ubuntu non è interessato da questo problema.

— Rinzwind
fonte