Относительно обновления OpenSSL в Ubuntu [дубликат]

Question 1

Я только что прочитал описание CVE-2020-1971, в котором указано, что сегодня был выпущен патч для openSSL, исправленная версия - 1.1.1i - моя версия Ubuntu 20.04.1 LTS работает под управлением openSSL версии 1.1.1f . С марта прошлого года.

Программа обновления программного обеспечения сообщает, что моя система обновлена. Я надеюсь, что это обновление openSSL будет выпущено Canonical завтра ... может ли кто-нибудь подтвердить, что они работают над этим?

Question 2

Когда возникает вопрос CVE, вашей первой остановкой должен быть CVE трекер Ubuntu по адресу https://ubuntu.com/security.

Вот что трекер CVE Ubuntu сказал о этом CVE и этом пакете, когда я проверял:
- Согласно https://ubuntu.com/security/CVE-2020-1971, это CVE было смягчено в 20.04 в openssl 1.1.1f-1ubuntu2.1, который уже находится в репозиториях Ubuntu (кармане фокальной безопасности).

Давайте перепроверим, что openssl 1.1.1f-1ubuntu2.1 доступен для apt для загрузки и установки:

$ apt-cache madison openssl // 20.04 система, соответствующий вопросу
openssl | 1.1.1f-1ubuntu2 | focal 
openssl | 1.1.1f-1ubuntu2.1 | focal-security <----- There there it is
openssl | 1.1.1f-1ubuntu2.1 | focal-updates <----- И там же...

Для любопытства посмотрим на страницу Launchpad для этого пакета , чтобы определить дату загрузки исправленной версии 20.04 (08 декабря 2020 / 08.12.2020) :
Проверьте установленную версию пакета, используя apt list openssl.
```
apt list openssl
Список... Готово
openssl/focal-updates, focal-security, now 1.1.1f-1ubuntu2.1 amd64 [установлено]
```
- Для большинства пользователей программа Unattended Upgrade уже загрузила и установила множество таких автоматических и бесшумных обновлений. Быстрое развертывание исправлений безопасности без докучать вам - это именно то, для чего оно предназначено.

Фоновое изображение: Есть два способа обработки обновлений безопасности.

Обновление до новой версии, которая включает в себя это изменение. Так как большинство пользователей понятия не имеют, как применить заплатку, это общая рекомендация. Для неквалифицированных пользователей это простой и достаточно безопасный способ. Он обновит вас до версии 1.1.1i
Применить патч к текущей версии. Так как инженеры Ubuntu Security Team DO знают, как применить и протестировать исправления, так работают обновления безопасности Ubuntu. Ubuntu предоставляет исправленную версию, а не новую версию. Это обновление обновит вас с 1.1.1f-1ubuntu2 до 1.1.1f-1ubuntu2.1. Да, ваш флаг -v скажет 1.1.1f, и это верно. Но вы все равно залатаны; вульн больше не может на вас влиять.

score 12 · Accepted Answer · 18 March 2021 в 23:42

Когда возникает вопрос CVE, вашей первой остановкой должен быть CVE трекер Ubuntu по адресу https://ubuntu.com/security.

Вот что трекер CVE Ubuntu сказал о этом CVE и этом пакете, когда я проверял:
- Согласно https://ubuntu.com/security/CVE-2020-1971, это CVE было смягчено в 20.04 в openssl 1.1.1f-1ubuntu2.1, который уже находится в репозиториях Ubuntu (кармане фокальной безопасности).

Давайте перепроверим, что openssl 1.1.1f-1ubuntu2.1 доступен для apt для загрузки и установки:

$ apt-cache madison openssl // 20.04 система, соответствующий вопросу
openssl | 1.1.1f-1ubuntu2 | focal 
openssl | 1.1.1f-1ubuntu2.1 | focal-security <----- There there it is
openssl | 1.1.1f-1ubuntu2.1 | focal-updates <----- И там же...

Для любопытства посмотрим на страницу Launchpad для этого пакета , чтобы определить дату загрузки исправленной версии 20.04 (08 декабря 2020 / 08.12.2020) :
Проверьте установленную версию пакета, используя apt list openssl.
```
apt list openssl
Список... Готово
openssl/focal-updates, focal-security, now 1.1.1f-1ubuntu2.1 amd64 [установлено]
```
- Для большинства пользователей программа Unattended Upgrade уже загрузила и установила множество таких автоматических и бесшумных обновлений. Быстрое развертывание исправлений безопасности без докучать вам - это именно то, для чего оно предназначено.

Фоновое изображение: Есть два способа обработки обновлений безопасности.

Обновление до новой версии, которая включает в себя это изменение. Так как большинство пользователей понятия не имеют, как применить заплатку, это общая рекомендация. Для неквалифицированных пользователей это простой и достаточно безопасный способ. Он обновит вас до версии 1.1.1i
Применить патч к текущей версии. Так как инженеры Ubuntu Security Team DO знают, как применить и протестировать исправления, так работают обновления безопасности Ubuntu. Ubuntu предоставляет исправленную версию, а не новую версию. Это обновление обновит вас с 1.1.1f-1ubuntu2 до 1.1.1f-1ubuntu2.1. Да, ваш флаг -v скажет 1.1.1f, и это верно. Но вы все равно залатаны; вульн больше не может на вас влиять.

Относительно обновления OpenSSL в Ubuntu [дубликат]

1 ответ

Другие вопросы по тегам:

Похожие вопросы: