読者です 読者をやめる 読者になる 読者になる

テラオの駄文

文章が驚くほど下手になってきたのでブログを始めて見た。インフラエンジニアで、アイドル大好きで、週末ふぉとぐらふぁー

OpenSSL (CVE-2016-0701) に対するRed HatとTurbolinuxの対応の相違

1月28日にOpenSSLから公開されたOpenSSL Security Advisory [28th Jan 2016] (CVE-2016-0701) ですが、 今日、TurboLinux(少し懐かしい)からセキュリティアップデートがアナウンスされました。

1.0.2以降で対応した機能なので、Red Hat は、「Not affected」(影響なし)として対応していませんでした。

CVE-2016-0701 - Red Hat Customer Portal (Red Hat)

TuboLinuxは独自にソースを調べて、脆弱なコードが1.0.2よりも低いバージョンに存在しているのでアップデートリリースを提供しています。とのことです。 さて、どちらが正解なんでしょう。

識者の見解が欲しいとこです。

http://www.turbolinux.co.jp/security/2016/TLSA-2016-6j.html (TurboLinux)

  ※RFC5114 は OpenSSL 1.02 からサポートされていますが、該当するソースソコードが
    openssl-0.9.8e、openssl-0.9.7d に含まれているため、CVE-2016-0701 セキュリティ
    パッチを適用したセキュリティアップデートをリリースします。