升级后的Ubuntu 18.04系统

升级后的Ubuntu 18.04系统

根据 Ubuntu 的CVE-2022-0778发布应该解决 CVE。但是,当我查看 OpenSSL 版本时,我真的无法判断它是 1.1.1n。我确实看到它是在 3 月 9 日之前构建的:

  • OpenSSL 向公众开放源代码
  • Ubuntu 发行版管理员将 OpenSSL 1.1.1n 导入到他们的存储库(可能只是一个面向公众的存储库)

那么,我怎么知道这确实是 1.1.1n?

升级后的Ubuntu 18.04系统

OpenSSL 1.1.1  11 Sep 2018
built on: Wed Mar  9 12:13:40 2022 UTC
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=. 
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE 
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM 
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM 
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM 
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM 
-DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific

发行版维护者

Ubuntu 仓库:https://git.launchpad.net/ubuntu/+source/openssl

标签:

* 3b83ed56dea2b735e31731fd042b52ff869f9a97 - 
(tag: import/1.1.1n-1, origin/debian/sid) 1.1.1n-1 
(patches unapplied) (c: Wed, 16 Mar 2022 04:33:58 +0000) 
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Siewior>%

applied/1.1.1n-1
*   d4d5eeef3576b16013c48abc435c5da889cedf1b - (tag: applied/1.1.1n-1, 
origin/applied/debian/sid) 1.1.1n-1 (patches applied) 
(c: Wed, 16 Mar 2022 04:33:58 +0000) 
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Si

答案1

一旦安全更新处于发布状态,最简单的做法就是应用更新, apt update && apt upgrade

考虑实施某种补丁管理报告,以确认所有主机都已更新且合规。这些范围从简单的脚本到您可能购买的产品。

那么,我怎么知道这确实是 1.1.1n?

Ubuntu 对 CVE-2022-0778 的修复不是 1.1.1n。与其他稳定发行版一样,他们习惯于仅将特定修复反向移植到他们选择的版本。再次阅读表格,并注意到 bionic 是openssl 1.1.1-1ubuntu2.1~18.04.15 末尾附加的看起来很有趣的版本字符串很重要,它指示哪个版本。

在 openssl 向公众开放源代码之前,于 3 月 9 日构建

构建和测试软件需要时间。与其他发行版一样,Ubuntu 也会在公告发布前收到通知。这可减少用户遇到漏洞的时间。

构建日期是一种很好的健全性检查,可以确保您具有所需的补丁级别,但要意识到可以在上游公告之前进行构建而不需要时间机器。

Ubuntu 发行版管理员将 openssl 1.1.1n 导入到他们的仓库(可能只是一个面向公众的仓库)

小心就版本控制中哪些内容实际上会修复您的版本做出结论。根据分支名称,这可能与 Ubuntu 与 Debian sid 或上游版本的比较有关。不是仿生的。

请参阅安全公告。

答案2

那么,我怎么知道这确实是 1.1.1n?

它不会是 1.1.1n,正如 John Mahowald 所说,Ubuntu 会将修复程序反向移植到他们支持的 18.04 版本中,从链接表来看,该版本是 1.1.1-1ubuntu2.1~18.04.15。

你可以使用以下命令查看你的系统上安装了哪些 openssl 软件包

apt list --installed | grep openssl

您可以检查更新日志以查看已应用/反向移植了哪些更新

apt-get changelog openssl 

或者甚至看看 Ubuntu变更日志服务器

变更日志确认 openssl 1.1.1-1ubuntu2.1~18.04.15 已针对 CVE-2022-0778 应用补丁。

答案3

类型

openssl 版本

在命令提示符下

我的给了

OpenSSL 1.1.1m 2021 年 12 月 14 日

相关内容