¿Todas las versiones de Ubuntu son seguras contra el ataque DROWN?

OpenSSLactualiza las versiones 1.0.2gy 1.0.1s para corregir la vulnerabilidad DROWN ( CVE-2016-0800 ). En Ubuntu 14.04 LTS Trusty Tahr, la última OpenSSLversión es 1.0.1f-1ubuntu2.18 . ¿Entiendo correctamente que las correcciones DROWN no se han enviado a Trusty? ¿Se necesitan incorporar correcciones DROWN a las versiones de Ubuntu?

security openssl talamaki
fuente

ubuntu.com/usn/usn-2914-1 todo listo.

Arup Roy Chowdhury

@ArupRoyChowdhury esa actualización no menciona CVE-2016-0800 pero estos: CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

talamaki

Posible duplicado de ¿Cómo puedo saber si un CVE ha sido reparado en los repositorios de Ubuntu?

muru

DROWN es un problema antiguo: afecta a SSLv2. SSLv2 está deshabilitado en Ubuntu OpenSSL.

Thomas Ward

Respuestas:

CVE-2016-0800 :

Prioridad Media

Descripción

El protocolo SSLv2, como se usa en OpenSSL antes de 1.0.1s y 1.0.2 antes de 1.0.2gy otros productos, requiere que un servidor envíe un mensaje de ServerVerify antes de establecer que un cliente posee ciertos datos RSA de texto sin formato, lo que facilita a los atacantes remotos para descifrar datos de texto cifrado TLS aprovechando un oráculo de relleno Bleichenbacher RSA, también conocido como un ataque "DROWN".

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = no existe
Ubuntu no se ve afectado por este problema.

Rinzwind
fuente