openSSL 1.1.1 安全漏洞 CVE-2020-1971

tag-icon tag-icon updates openssl
openSSL 1.1.1 安全漏洞 CVE-2020-1971

我刚刚读了 CVE-2020-1971 的描述,其中表明今天发布了针对 openSSL 的补丁,修补后的版本是 1.1.1i —— 我的 Ubuntu 20.04.1 LTS 版本运行的是 openSSL 版本 1.1.1f。从去年三月开始。

软件更新程序说我的系统已更新。我希望 Canonical 明天发布此 openSSL 更新...有人能确认他们正在处理此事吗?

答案1

当出现 CVE 问题时,你的第一站应该是 Ubuntu 的 CVE 跟踪器https://ubuntu.com/security

  1. 以下是 Ubuntu CVE 跟踪器关于此 CVE当我检查这个包时:

    在此处输入图片描述

  2. 让我们再检查一下openssl 1.1.1f-1ubuntu2.1是否可以下载并安装 apt:

    $ apt-cache madison openssl   // 20.04 system, matching the question
openssl | 1.1.1f-1ubuntu2          | focal 
openssl | 1.1.1f-1ubuntu2.1        | focal-security  <----- There it is
openssl | 1.1.1f-1ubuntu2.1        | focal-updates   <----- And there, too

  3. 对于那些好奇的人来说,让我们来看看该软件包的启动板页面确定修补后的 20.04 版本的上传日期(2020 年 12 月 8 日 / 2020 年 12 月 8 日):

    在此处输入图片描述

  4. 使用 检查您安装的软件包版本apt list openssl

    $ apt list openssl
Listing... Done
openssl/focal-updates,focal-security, now 1.1.1f-1ubuntu2.1 amd64 [installed]
    • 对于大多数用户来说,无人值守升级已经自动且静默地下载并安装了许多类似的安全升级。快速推出安全补丁而不会打扰您正是它的目的。

背景:有两种方法可以处理安全更新。

  1. 更新到包含更改的较新版本。由于大多数用户不知道如何应用补丁,因此这是一个常见的建议。对于不熟练的用户,这是一种简单且相当安全的方法。这将更新到 1.1.1i

  2. 将补丁应用到当前版本。由于 Ubuntu 安全团队工程师知道如何应用和测试补丁,因此 Ubuntu 安全更新就是这样工作的。Ubuntu 提供了已修补版本,而不是新的版本。这会将您从 1.1.1f-1ubuntu2 更新到 1.1.1f-1ubuntu2.1。是的,您的 -v 标志将显示 1.1.1f,这是正确的。但您仍然已修补;该漏洞不再影响您。

相关内容