OpenSSL 发布了安全公告,警告用户注意最近发现的两个漏洞:
- ASN.1 编码器中的内存损坏 (CVE-2016-2108)
- 在 AES-NI CBC MAC 检查中填充 oracle (CVE-2016-2107)
他们的建议如下:
OpenSSL 1.0.2 用户应升级到 1.0.2h
OpenSSL 1.0.1 用户应升级到 1.0.1t
但是,可用于 Trusty (14.04) 的最新版本是1.0.1f-1ubuntu2.19. 为什么仍然提供这么旧的版本,我该如何减轻这种情况?
当前版本确实包含针对这些漏洞的缓解措施。与其跟上 OpenSSL 的发布,安全团队更喜欢向后移植修复程序。
您可以通过下载软件包的 Debian 软件包来确认该软件包是否包含问题中列出的 CVE 的缓解措施
openssl:openssl_1.0.1f-1ubuntu2.19.debian.tar.gz您将在当前目录中找到一个名为的文件。提取内容并列出 的内容debian/patches: