Я только что прочитал описание CVE-2020-1971, в котором указано, что сегодня был выпущен патч для openSSL, исправленная версия - 1.1.1i - моя версия Ubuntu 20.04.1 LTS работает под управлением openSSL версии 1.1.1f . С марта прошлого года.
Программа обновления программного обеспечения сообщает, что моя система обновлена. Я надеюсь, что это обновление openSSL будет выпущено Canonical завтра ... может ли кто-нибудь подтвердить, что они работают над этим?
Когда возникает вопрос CVE, вашей первой остановкой должен быть CVE трекер Ubuntu по адресу https://ubuntu.com/security.
Вот что трекер CVE Ubuntu сказал о этом CVE и этом пакете, когда я проверял:
openssl 1.1.1f-1ubuntu2.1
, который уже находится в репозиториях Ubuntu (кармане фокальной безопасности). Давайте перепроверим, что openssl 1.1.1f-1ubuntu2.1
доступен для apt для загрузки и установки:
$ apt-cache madison openssl // 20.04 система, соответствующий вопросу
openssl | 1.1.1f-1ubuntu2 | focal
openssl | 1.1.1f-1ubuntu2.1 | focal-security <----- There there it is
openssl | 1.1.1f-1ubuntu2.1 | focal-updates <----- И там же...
Для любопытства посмотрим на страницу Launchpad для этого пакета , чтобы определить дату загрузки исправленной версии 20.04 (08 декабря 2020 / 08.12.2020) :
Проверьте установленную версию пакета, используя apt list openssl
.
apt list openssl
Список... Готово
openssl/focal-updates, focal-security, now 1.1.1f-1ubuntu2.1 amd64 [установлено]
Фоновое изображение: Есть два способа обработки обновлений безопасности.
Обновление до новой версии, которая включает в себя это изменение. Так как большинство пользователей понятия не имеют, как применить заплатку, это общая рекомендация. Для неквалифицированных пользователей это простой и достаточно безопасный способ. Он обновит вас до версии 1.1.1i
Применить патч к текущей версии. Так как инженеры Ubuntu Security Team DO знают, как применить и протестировать исправления, так работают обновления безопасности Ubuntu. Ubuntu предоставляет исправленную версию, а не новую версию. Это обновление обновит вас с 1.1.1f-1ubuntu2 до 1.1.1f-1ubuntu2.1. Да, ваш флаг -v скажет 1.1.1f, и это верно. Но вы все равно залатаны; вульн больше не может на вас влиять.