Я выполняю несколько машин Ubuntu 18.04, всем из которых нужен OpenSSL.
Недавно, OpenSSL сообщил о проблеме безопасности: https://www.openssl.org/news/secadv/20200421.txt (CVE-2020-1967).
Я действительно устанавливал OpenSSL через пакеты стандарта Ubuntu, никакие пользовательские источники пакета здесь, и при этом я не компилировал его сам. Так, с тех пор дело обстоит так и так как я использую в настоящее время сохраняемое распределение LTS (18.04, как упомянуто), я принял то выполнение apt update
и apt upgrade
было бы достаточно, чтобы получить последние обновления и быть безопасными от той уязвимости. Но, нет. Очевидно, это более сложно.
Согласно https://launchpad.net/ubuntu / + source/openssl существует версия пакета OpenSSL для Ubuntu, которая реагирует на вышеупомянутый CVE-2020-1967. Однако это все еще содержит 1.1.1f на его имя версии, тогда как версия OpenSSL, где проблема решена, составляет на самом деле 1.1.1 г (согласно их совету). И, более важный: Тот пакет только для Фокальной Ямки (20.04).
Так, я думал, что рискую для изучения нескольких вещей о внутренностях Ubuntu и как версия пакета пробивается к моему компьютеру:
apt upgrade
?Каким образом это, новые пакеты только создаются для более новых дистрибутивов LTS и более старых, оставляют уязвимым? просто ЛОЖЬ, и давайте покажем Вам, как можно решить что для себя:
Во-первых, Давайте смотреть на Средство отслеживания CVE Ubuntu.
Введите свое число CVE, и Вы будете видеть:
Во-вторых, много людей запутывается понятием Debian/Ubuntu модели выпуска снимка. Под этой моделью, программное обеспечение в единственном выпуске (как 19,10 или 20.04) НЕ увеличено новыми выпусками... даже большинство выпусков безопасности.
ОДНАКО "не увеличенный" не означает "не зафиксированный". Много пакетов получает патчи безопасности после выпуска, не будучи обновленным до новой версии. Скажем, это снова: Пользователи поощряются обновить к более новым пакетам, потому что у большинства пользователей нет навыка или терпения исправить и перекомпилировать пакет. Дистрибутивы как Ubuntu, однако, имеют инженеров, у которых действительно есть тот навык и терпение.
Наконец, давайте основываться на тех двух элементах и давайте смотреть на пример OpenSSL в CVE-2020-1967:
openssl 1.1.1f-1ubuntu2
был загружен на 20,04 (Фокальный) перед выпуском. Патч произошел после выпуска это было бы в репозитории фокальной безопасности. Это - одна причина, которую важно сохранить - безопасность repo в Ваших источниках и сохранить Необслуживаемые Обновления активными.