Ubuntu 中 OpenSSL 的最新更新已于本月发布。
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.2g-1ubuntu4.11/changelog
那里有针对 v1.0.2g 的详细安全更新列表
虽然我2个月前已经手动安装了OpenSSL v1.0.2n。
我想问的是这是否重要,具体来说,Ubuntu 对 OpenSSL 版本的更新是否是针对 Ubuntu 定制的?来自 OpenSSL 站点的最新版本不应该涵盖所有这些吗?我应该恢复到旧版本吗?
答案1
如果您手动安装了您自己的 OpenSSL 版本而不是 Ubuntu 提供的版本,那么您有责任保持其更新,包括安装任何安全补丁。
使用 Ubuntu 提供的版本通常更安全,因为您将通过正常更新过程收到安全更新。
两者的更新时间表和流程有所不同,但都力求在发现安全问题后及时修补。Ubuntu 会将补丁反向移植(即重写补丁以使其在旧版本上运行)到 Ubuntu 中的稳定版本,而上游可能会使补丁仅通过更新到最新版本才可用。
需要注意的另一件事是,许多 Ubuntu 软件包都依赖于 OpenSSL 库。您可能会发现您同时拥有手动安装的版本和由于 Ubuntu 提供的版本是作为依赖项引入的,因此进行了安装。