在 Ubuntu 22.04.3 中更新 OpenSSL 3.0.10

在 Ubuntu 22.04.3 中更新 OpenSSL 3.0.10

如何openssl在 Ubuntu 22.04 LTS 中更新。当前版本是openssl3.0.2。但它有漏洞。所以我需要更新到openssl3.0.10。它在 Ubuntu 存储库中仍然不可用。

3.0.2 版中存在以下漏洞openssl:CVE-2023-2975、CVE-2023-3446 和 CVE-2023-3817

答案1

请不要做任何你以后会后悔的事情。让我们来看看这些 CVE 并看看它们是什么:

CVE-2023-3817 和 CVE-2023-3446

发布日期:2023 年 7 月 31 日/19 日

问题摘要:检查过长的 DH 密钥或参数可能会非常慢
。...
调用 DH_check() 并提供从不受信任的来源获取的密钥或参数的应用程序可能容易受到拒绝服务攻击。

CVE-2023-2975

发布日期:2023 年 7 月 14 日

问题摘要:AES-SIV 密码实现包含一个错误,导致它忽略未经身份验证的空关联数据条目
。......
由于该问题不影响非空关联数据认证,并且我们预计应用程序很少使用空关联数据条目,因此该问题被归类为低严重性问题。

前两个漏洞(CVE-2023-3817 和 CVE-2023-3446)在某些条件下会导致响应时间过长(理论上可能导致 DoS 情况),最后一个漏洞(CVE-2023-2975)会导致未经身份验证的空的数据。

所有这些 CVE 均被评为低的严重性,意味着当 Ubuntu 安全团队认为这可以适合发布计划时,他们就会得到补丁。

如果您认为自己可以比 Ubuntu 安全团队更好地判断 CVE,当然欢迎您自己编译更新版本的库,但在这种情况下,您还必须自己维护这个库。

在这些问题上,大多数用户最好信任 Ubuntu 安全团队。

相关内容