Есть ли различия между обновлениями системы защиты OpenSSL на Ubuntu и OpenSSL от официального сайта OpenSSL
Последние обновления для OpenSSL в Ubuntu вышли в этом месяце.
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.2g-1ubuntu4.11/changelog
Существует обширный список обновлений системы защиты там для v1.0.2g
Хотя я установил OpenSSL v1.0.2n вручную 2 месяца назад.
То, что я спрашиваю, это имеет значение, конкретно обновления Ubuntu на версии OpenSSL, настроенной и характерной для Ubuntu? Не был должен последняя версия непосредственно от сайта OpenSSL покрывать все они? Я должен вернуться назад к более старой версии?
1 ответ
Если Вы вручную установили свою собственную версию OpenSSL вместо версии, обеспеченной Ubuntu, то Вы ответственны за то, что держали его в курсе, включая установку любых патчей безопасности.
Обычно более безопасно использовать версию, обеспеченную Ubuntu, поскольку Вы затем получите обновления системы защиты посредством нормального процесса обновления.
Эти два будут иметь различные расписания обновления и процессы, но оба будут стремиться исправлять своевременно после того, как проблема безопасности найдена. Ubuntu бэкпортирует патч (т.е. перепишет патч, таким образом, это будет работать над более старой версией) к стабильной версии в Ubuntu, тогда как в восходящем направлении может сделать патч только доступным путем обновления к последней версии.
Другая вещь знать состоит в том, что много пакетов Ubuntu зависят от библиотеки OpenSSL. Можно найти, что у Вас есть и вручную установленная версия и обеспеченная Ubuntu версия, установленная из-за него вводимый как зависимость.