我是 Ubuntu 新手,我发现与 CVE 相关的通知令人困惑。例如,当我查看特定 CVE 的详细说明时https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14901.html我看到该页面引用了其他几个页面,包括:
我正在运行 16.04 LTS 服务器,这两个参考资料表明它们与 16.04 LTS 相关。但让我感到困惑的是,它们提供了有关如何更正问题的不同信息。#1 指定升级到 4.15.0 版本,而 #2 指定升级到 4.4.0 版本。为什么这两个页面上的 16.04 LTS“更正”版本不同,哪个才是真正的正确信息?
除此之外,原始 CVE URL 表示该缺陷是在“Linux 内核中发现的,即 4.18.0 之前的所有版本 3.xx 和 4.xx”。啊?那么为什么它会告诉我更新到 4.4.0 或 4.15.0,而这两个版本都低于 4.18?
答案1
听起来你可能对 4.4(普通版,即 GA)内核和 4.15(HWE)内核感到困惑,这是一种很常见的混淆。评论https://wiki.ubuntu.com/Kernel/RollingLTSEnablementStack更清晰。普通版和 HWE 版内核均已打补丁 - 并且均为 16.04 LTS 内核。
升级到其他内核版本的建议通常适用于不使用 Ubuntu 的用户。Ubuntu 安全团队通常会修补大多数软件包(包括内核),而不会改变版本。修补后的内核与新版本一样安全。
要了解有关如何Ubuntu 安全团队处理此类案件,请查看Ubuntu 安全播客。