运行 Ubuntu 16.04——听说 libssh 的安全问题后,我正在尝试升级该软件包。
https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/
看来我正在运行 libssh 0.6.3-4.3?
dpkg -l | grep libssh
ii libssh-gcrypt-4:amd64 0.6.3-4.3 amd64 tiny C SSH library (gcrypt flavor)
由于我无法进行简单的 apt update 和 apt upgrade,因为这会破坏我的一些软件,因此我仅通过使用
apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | awk -F " " {'print $2'} | xargs apt-get install
成立这里。
这似乎已经清除了我的安全更新待处理列表 - 但是重启后我的 libssh 仍然是相同的版本。
更新可能尚未推送吗?
谢谢阅读!
答案1
这Ubuntu 安全团队维护 CVE 及其补丁的数据库。
您可以亲自查看特定 CVE 的补丁是否已被推送:https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html
Ubuntu 的 Debian(不是 Snap)存储库使用快照方法。发布后,大多数软件包不会收到新的上游版本,但会收到安全补丁和高优先级错误修复。这可能与上游网站让您相信的行为不同。
例如:libssh 0.6.3-4.3位于 Ubuntu 16.04 存储库中。Ubuntu 不会将软件包更新到 0.7.6。Ubuntu 将修补漏洞,并将软件包更新到(类似)“0.6.3-4.3Ubuntu0”
编辑:我接近了。他们确实将版本更新到了 0.6.3-4.3ubuntu0.1
当然,Snap 的工作方式有所不同。
答案2
有一个可用更新:
libssh (0.6.3-4.3ubuntu0.1) xenial-security;紧急程度=中等
- 安全更新:身份验证绕过漏洞
- debian/patches/CVE-2018-10933-*.patch:添加上游补丁来解决问题。
- CVE-2018-10933