我的问题

我的问题

我在一台机器上Ubuntu 20.04.3 LTS (focal)使用。当我今天升级时,升级如下:XFCE DEAMD 64-bitaptpackage: libcaca0

Unpacking **libcaca0:amd64 (0.99.beta19-2.1ubuntu1.20.04.2)** over **(0.99.beta19-2.1ubuntu1.20.04.1)**

我只是出于好奇用 Google 搜索了一下这个包是做什么的,然后遇到了这个页面:https://ubuntu.com/security/notices/USN-5119-1

它说此软件包中存在已知安全漏洞,需要升级到:libcaca0 - 0.99.beta19-2.2ubuntu2.1,以缓​​解该漏洞。但是,如您所见,apt仅升级到版本19-2.1

我尝试仅升级特定的软件包,使用

sudo apt-get --only-upgrade install libcaca0

但是,它说libcaca0 is already the newest version (0.99.beta19-2.1ubuntu1.20.04.2).

此页面表明直到 2021-10-13 才有修复程序: https://ubuntu.com/security/CVE-2021-30499

然而,根据此页面,ver: 19.2.2已于 2021-03-20 发布。 https://launchpad.net/debian/+source/libcaca/0.99.beta19-2.2

并且,似乎可以在以下位置下载: https://launchpad.net/ubuntu/+source/libcaca/0.99.beta19-2.2ubuntu1.1

(我注意到发布确认页面属于 Debian,而下载页面指向 Ubuntu。我相信,发布和下载页面将要适用于两个发行版。所以,问题不在于此。

我的问题

软件包版本是否可供下载(适用于 Ubuntu)?为什么apt无法升级到该版本?是因为某些审批待决吗?如果是这样,为什么有可供下载的版本?

我的目的不是抱怨,而是仔细研究/了解一般过程/原因以及在这种/这类情况下该怎么做 - 例如:

  • 是否下载可用的 tar 并安装,或等待apt版本可用,
  • 难道不应该通知用户此类问题(尤其是安全漏洞)吗?或者根本就不可能,
  • 如果软件包存在漏洞,为什么 apt 升级也推荐它(并且,在修复程序可用之前不可能将其删除 - 当然,前提是存在可用的替代软件包来满足其他依赖项)
  • ETC。

如果可能的话,请提供一些关于该漏洞的技术细节、如何/为什么会导致该漏洞等的专家说明 [我知道...我应该自己查找一下...但是,仍然!:)]。尽管我已经使用它很长时间了,但我对 Linux 还比较陌生,甚至还不是核心用户 - 更不用说贡献者了。

答案1

您没有仔细阅读您的链接。

https://ubuntu.com/security/notices/USN-5119-1

Ubuntu 20.04

caca-utils - 0.99.beta19-2.1ubuntu1.20.04.2
libcaca0 - 0.99.beta19-2.1ubuntu1.20.04.2

因此您获得了正确的更新。您已安装修复程序。无需采取任何措施。

libcaca0 - 0.99.beta19-2.2ubuntu2.1适用于 Ubuntu 21.10。

相关内容