Sind alle Versionen von Ubuntu gegen DROWN-Angriffe geschützt?

OpenSSLAktualisiert die Release-Versionen 1.0.2g und 1.0.1s , um die DROWN-Sicherheitsanfälligkeit zu beheben ( CVE-2016-0800 ). In Ubuntu 14.04 LTS Trusty Tahr ist die neueste OpenSSLVersion 1.0.1f-1ubuntu2.18 . Verstehe ich es richtig, dass DROWN-Fixes nicht auf Trusty zurückportiert wurden? Müssen DROWN-Fixes in Ubuntu-Versionen integriert werden?

CVE-2016-0800 :

Prioritätsmedium

Beschreibung

Das SSLv2-Protokoll, wie es in OpenSSL vor 1.0.1s und 1.0.2 vor 1.0.2g und anderen Produkten verwendet wird, erfordert, dass ein Server eine ServerVerify-Nachricht sendet, bevor festgestellt wird, dass ein Client über bestimmte Klartext-RSA-Daten verfügt, was es für Angreifer aus der Ferne einfacher macht Entschlüsseln von TLS-Chiffretextdaten durch Nutzung eines Bleichenbacher RSA-Padding-Orakels, auch bekannt als "DROWN" -Angriff.

Package
Source: openssl098 (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: DNE
Ubuntu Core 15.04:  DNE
Ubuntu 15.10 (Wily Werewolf):   DNE
Ubuntu 16.04 (Xenial Xerus):    DNE

Package
Source: openssl (LP Ubuntu Debian)
Upstream:   needs-triage
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected
Ubuntu 14.04 LTS (Trusty Tahr): not-affected
Ubuntu Touch 15.04: not-affected
Ubuntu Core 15.04:  not-affected
Ubuntu 15.10 (Wily Werewolf):   not-affected
Ubuntu 16.04 (Xenial Xerus):    not-affected

• DNE = existiert nicht
• Ubuntu ist von diesem Problem nicht betroffen.