根据 Ubuntu 的CVE-2022-0778这发布应该解决 CVE。但是,当我查看 OpenSSL 版本时,我真的无法判断它是 1.1.1n。我确实看到它是在 3 月 9 日之前构建的:
- OpenSSL 向公众开放源代码
- Ubuntu 发行版管理员将 OpenSSL 1.1.1n 导入到他们的存储库(可能只是一个面向公众的存储库)
那么,我怎么知道这确实是 1.1.1n?
升级后的Ubuntu 18.04系统
OpenSSL 1.1.1 11 Sep 2018
built on: Wed Mar 9 12:13:40 2022 UTC
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=.
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM
-DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific
发行版维护者
Ubuntu 仓库:https://git.launchpad.net/ubuntu/+source/openssl
标签:
* 3b83ed56dea2b735e31731fd042b52ff869f9a97 -
(tag: import/1.1.1n-1, origin/debian/sid) 1.1.1n-1
(patches unapplied) (c: Wed, 16 Mar 2022 04:33:58 +0000)
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Siewior>%
applied/1.1.1n-1
* d4d5eeef3576b16013c48abc435c5da889cedf1b - (tag: applied/1.1.1n-1,
origin/applied/debian/sid) 1.1.1n-1 (patches applied)
(c: Wed, 16 Mar 2022 04:33:58 +0000)
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Si
答案1
一旦安全更新处于发布状态,最简单的做法就是应用更新, apt update && apt upgrade
考虑实施某种补丁管理报告,以确认所有主机都已更新且合规。这些范围从简单的脚本到您可能购买的产品。
那么,我怎么知道这确实是 1.1.1n?
Ubuntu 对 CVE-2022-0778 的修复不是 1.1.1n。与其他稳定发行版一样,他们习惯于仅将特定修复反向移植到他们选择的版本。再次阅读表格,并注意到 bionic 是openssl 1.1.1-1ubuntu2.1~18.04.15
末尾附加的看起来很有趣的版本字符串很重要,它指示哪个版本。
在 openssl 向公众开放源代码之前,于 3 月 9 日构建
构建和测试软件需要时间。与其他发行版一样,Ubuntu 也会在公告发布前收到通知。这可减少用户遇到漏洞的时间。
构建日期是一种很好的健全性检查,可以确保您具有所需的补丁级别,但要意识到可以在上游公告之前进行构建而不需要时间机器。
Ubuntu 发行版管理员将 openssl 1.1.1n 导入到他们的仓库(可能只是一个面向公众的仓库)
小心就版本控制中哪些内容实际上会修复您的版本做出结论。根据分支名称,这可能与 Ubuntu 与 Debian sid 或上游版本的比较有关。不是仿生的。
请参阅安全公告。
答案2
那么,我怎么知道这确实是 1.1.1n?
它不会是 1.1.1n,正如 John Mahowald 所说,Ubuntu 会将修复程序反向移植到他们支持的 18.04 版本中,从链接表来看,该版本是 1.1.1-1ubuntu2.1~18.04.15。
你可以使用以下命令查看你的系统上安装了哪些 openssl 软件包
apt list --installed | grep openssl
您可以检查更新日志以查看已应用/反向移植了哪些更新
apt-get changelog openssl
或者甚至看看 Ubuntu变更日志服务器。
变更日志确认 openssl 1.1.1-1ubuntu2.1~18.04.15 已针对 CVE-2022-0778 应用补丁。
答案3
类型
openssl 版本
在命令提示符下
我的给了
OpenSSL 1.1.1m 2021 年 12 月 14 日