모든 버전의 Ubuntu는 DROWN 공격으로부터 안전합니까?

OpenSSLDROWN 취약점 ( CVE-2016-0800 ) 을 수정하기 위해 릴리스 버전 1.0.2g 및 1.0.1s 를 업데이트합니다 . Ubuntu 14.04 LTS Trusty Tahr에서 최신 버전은 1.0.1f-1ubuntu2.18 입니다. DROWN 수정 프로그램이 Trusty로 백 포트되지 않았다는 것을 올바르게 이해하고 있습니까? DROWN 수정 프로그램을 Ubuntu 버전에 통합해야합니까? OpenSSL

security openssl

— 탈라 마키
소스

ubuntu.com/usn/usn-2914-1이 모두 완료되었습니다.

— Arup Roy Chowdhury

@ArupRoyChowdhury 해당 업데이트에 CVE-2016-0800이 언급되어 있지 않지만 CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799

— talamaki

의 가능한 중복 CVE 우분투의 저장소에서 수정 된 경우 내가 말할 수있는 방법은?

— muru

DROWN은 오래된 문제입니다. SSLv2에 영향을줍니다. Ubuntu OpenSSL에서 SSLv2가 비활성화되었습니다.

— 토마스 워드

CVE-2016-0800 :

우선 순위 매체

기술

1.0.1s 이전의 OpenSSL 및 1.0.2g 이전의 1.0.2 및 기타 제품에서 사용되는 SSLv2 프로토콜은 클라이언트가 특정 일반 텍스트 RSA 데이터를 보유하고 있는지 확인하기 전에 서버가 ServerVerify 메시지를 보내도록 요구합니다. "DROWN"공격 인 Bleichenbacher RSA 패딩 오라클을 활용하여 TLS 암호문 데이터를 해독합니다.

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

DNE = 존재하지 않습니다
우분투는이 문제의 영향을받지 않습니다.

— 린츠 윈드
소스