Как новые версии пакета находят свой путь к распределению LTS? (Текущий пример: OpenSSL)
Я выполняю несколько машин Ubuntu 18.04, всем из которых нужен OpenSSL.
Недавно, OpenSSL сообщил о проблеме безопасности: https://www.openssl.org/news/secadv/20200421.txt (CVE-2020-1967).
Я действительно устанавливал OpenSSL через пакеты стандарта Ubuntu, никакие пользовательские источники пакета здесь, и при этом я не компилировал его сам. Так, с тех пор дело обстоит так и так как я использую в настоящее время сохраняемое распределение LTS (18.04, как упомянуто), я принял то выполнение apt update и apt upgrade было бы достаточно, чтобы получить последние обновления и быть безопасными от той уязвимости. Но, нет. Очевидно, это более сложно.
Согласно https://launchpad.net/ubuntu / + source/openssl существует версия пакета OpenSSL для Ubuntu, которая реагирует на вышеупомянутый CVE-2020-1967. Однако это все еще содержит 1.1.1f на его имя версии, тогда как версия OpenSSL, где проблема решена, составляет на самом деле 1.1.1 г (согласно их совету). И, более важный: Тот пакет только для Фокальной Ямки (20.04).
Так, я думал, что рискую для изучения нескольких вещей о внутренностях Ubuntu и как версия пакета пробивается к моему компьютеру:
- Каким образом это, новые пакеты только создаются для более новых дистрибутивов LTS и более старых, оставляют уязвимым?
- Как это обрабатывает работу в целом?
- Что является средним временем между публично объявляемой уязвимостью и исправленными пакетами, являющимися доступным через
apt upgrade?
1 ответ
Каким образом это, новые пакеты только создаются для более новых дистрибутивов LTS и более старых, оставляют уязвимым? просто ЛОЖЬ, и давайте покажем Вам, как можно решить что для себя:
Во-первых, Давайте смотреть на Средство отслеживания CVE Ubuntu.
Введите свое число CVE, и Вы будете видеть:
- Служба безопасности Ubuntu уже работала эта проблема.
- Некоторые релизы Ubuntu потребовали новых пакетов, другие не сделали.
- Средство отслеживания включает точную версию пакета с фиксацией.
Во-вторых, много людей запутывается понятием Debian/Ubuntu модели выпуска снимка. Под этой моделью, программное обеспечение в единственном выпуске (как 19,10 или 20.04) НЕ увеличено новыми выпусками... даже большинство выпусков безопасности.
- Исключения: существует несколько исключений, как веб-браузеры, которые всегда получают новейшие версии на более старых выпусках.
ОДНАКО "не увеличенный" не означает "не зафиксированный". Много пакетов получает патчи безопасности после выпуска, не будучи обновленным до новой версии. Скажем, это снова: Пользователи поощряются обновить к более новым пакетам, потому что у большинства пользователей нет навыка или терпения исправить и перекомпилировать пакет. Дистрибутивы как Ubuntu, однако, имеют инженеров, у которых действительно есть тот навык и терпение.
- Это - управление рисками: Более новые пакеты могут представить ошибки и не были протестированы с выпуском, таким образом, большинство пакетов исправляется вместо этого.
Наконец, давайте основываться на тех двух элементах и давайте смотреть на пример OpenSSL в CVE-2020-1967:
- Служба безопасности Ubuntu оценила уязвимость в шести различных релизах Ubuntu. Уязвимость присутствовала в одном из тех выпусков.
- Восходящий выпуск (для пользователей) является версией 1.1.1g
- Служба безопасности исправила уязвимость в 20.04's пакет 1.1.1f. Так как они добавили патч вместо того, чтобы объединить новый восходящий выпуск, они не могли утверждать, что это было 1.1.1f больше, ни было этим 1.1.1 г. Это было что-то еще, таким образом, это назвало 1.1.1f-1ubuntu2. Обратите внимание, что '2' в 'ubuntu2' указывает, что это - третий патч того пакета, так как он прибыл из восходящего потока.
- Та схема маркировки патчей не случайна - она тщательно разработана так, Вы видите сразу, сколько патчей прибыло из Debian, и сколько из Ubuntu. Кроме того, это является все еще алфавитно-цифровым образом поддающимся сортировке настолько склонное, будет всегда правильно определять последнюю версию для установки.
- Наконец, после обзора и тестирования, исправленного пакета
openssl 1.1.1f-1ubuntu2был загружен на 20,04 (Фокальный) перед выпуском. Патч произошел после выпуска это было бы в репозитории фокальной безопасности. Это - одна причина, которую важно сохранить - безопасность repo в Ваших источниках и сохранить Необслуживаемые Обновления активными.