OpenSSL (CVE-2016-0701) に対するRed HatとTurbolinuxの対応の相違
1月28日にOpenSSLから公開されたOpenSSL Security Advisory [28th Jan 2016] (CVE-2016-0701) ですが、 今日、TurboLinux(少し懐かしい)からセキュリティアップデートがアナウンスされました。
1.0.2以降で対応した機能なので、Red Hat は、「Not affected」(影響なし)として対応していませんでした。
CVE-2016-0701 - Red Hat Customer Portal (Red Hat)
TuboLinuxは独自にソースを調べて、脆弱なコードが1.0.2よりも低いバージョンに存在しているのでアップデートリリースを提供しています。とのことです。 さて、どちらが正解なんでしょう。
識者の見解が欲しいとこです。
http://www.turbolinux.co.jp/security/2016/TLSA-2016-6j.html (TurboLinux)
※RFC5114 は OpenSSL 1.02 からサポートされていますが、該当するソースソコードが openssl-0.9.8e、openssl-0.9.7d に含まれているため、CVE-2016-0701 セキュリティ パッチを適用したセキュリティアップデートをリリースします。