我在一台机器上Ubuntu 20.04.3 LTS (focal)
使用。当我今天升级时,升级如下:XFCE DE
AMD 64-bit
apt
package: libcaca0
Unpacking **libcaca0:amd64 (0.99.beta19-2.1ubuntu1.20.04.2)** over **(0.99.beta19-2.1ubuntu1.20.04.1)**
我只是出于好奇用 Google 搜索了一下这个包是做什么的,然后遇到了这个页面:https://ubuntu.com/security/notices/USN-5119-1
它说此软件包中存在已知安全漏洞,需要升级到:libcaca0 - 0.99.beta19-2.2ubuntu2.1
,以缓解该漏洞。但是,如您所见,apt
仅升级到版本19-2.1
。
我尝试仅升级特定的软件包,使用
sudo apt-get --only-upgrade install libcaca0
但是,它说libcaca0 is already the newest version (0.99.beta19-2.1ubuntu1.20.04.2).
。
此页面表明直到 2021-10-13 才有修复程序: https://ubuntu.com/security/CVE-2021-30499
然而,根据此页面,ver: 19.2.2
已于 2021-03-20 发布。
https://launchpad.net/debian/+source/libcaca/0.99.beta19-2.2
并且,似乎可以在以下位置下载: https://launchpad.net/ubuntu/+source/libcaca/0.99.beta19-2.2ubuntu1.1
(我注意到发布确认页面属于 Debian,而下载页面指向 Ubuntu。我相信,发布和下载页面将要适用于两个发行版。所以,问题不在于此。
我的问题
软件包版本是否可供下载(适用于 Ubuntu)?为什么apt
无法升级到该版本?是因为某些审批待决吗?如果是这样,为什么有可供下载的版本?
我的目的不是抱怨,而是仔细研究/了解一般过程/原因以及在这种/这类情况下该怎么做 - 例如:
- 是否下载可用的 tar 并安装,或等待
apt
版本可用, - 难道不应该通知用户此类问题(尤其是安全漏洞)吗?或者根本就不可能,
- 如果软件包存在漏洞,为什么 apt 升级也推荐它(并且,在修复程序可用之前不可能将其删除 - 当然,前提是存在可用的替代软件包来满足其他依赖项)
- ETC。
如果可能的话,请提供一些关于该漏洞的技术细节、如何/为什么会导致该漏洞等的专家说明 [我知道...我应该自己查找一下...但是,仍然!:)]。尽管我已经使用它很长时间了,但我对 Linux 还比较陌生,甚至还不是核心用户 - 更不用说贡献者了。
答案1
您没有仔细阅读您的链接。
https://ubuntu.com/security/notices/USN-5119-1
Ubuntu 20.04
caca-utils - 0.99.beta19-2.1ubuntu1.20.04.2
libcaca0 - 0.99.beta19-2.1ubuntu1.20.04.2
因此您获得了正确的更新。您已安装修复程序。无需采取任何措施。
libcaca0 - 0.99.beta19-2.2ubuntu2.1
适用于 Ubuntu 21.10。