устаревший zmq pkg с CVE в бионических обновлениях
и бионические, и бионические-обновления содержат:
libzmq5 (4.2.5-1ubuntu0.2) [вселенная] легкое ядро обмена сообщениями (разделяемая библиотека)
, которое было взломано с помощью эксплойта CVE уровня 9.0 здесь:
https://www.cvedetails.com/cve/CVE-2019-6250/
Поскольку Bionic является LTS, разве это не должно быть обновлено до 4.3.1? Исправлено на дискотеке (19.04+)
ура
1 ответ
ZeroMQ находится в юниверсе, что означает, что он поддерживается сообществом.
Если вы можете, я предлагаю согласовать с вышестоящим и опубликовать debdiff для этой проблемы. Когда debdiff будет доступен, члены группы безопасности просмотрят его и опубликуют пакет. См. следующую ссылку для получения дополнительной информации: https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures