我有一台已应用所有补丁的 Ubuntu 20.04 VM。下面的 CVE 显示已为发布焦点应用了 apache 2.53 补丁。
根据此 CVE,https://ubuntu.com/security/CVE-2022-31813,显示焦点已发布(2.4.41-4ubuntu3.12)包。
当我运行时dpkg -l输出显示apache2 2.4.53-1+ubuntu20.04.1+deb.sury.org+1。
CVE 网站上版本“Focal”(2.4.41-4ubuntu3.12)下列出的软件包与我的操作系统上安装的软件包(2.4.53-1+ubuntu20.04.1+deb.sury.org+1)不匹配。
有人能帮我解释一下为什么它们不匹配吗?
答案1
它们不匹配,因为您没有使用 Ubuntu 安全团队分发的修补包(2.4.41-4ubuntu3.12)。
相反,您正在使用来自 PPA(2.4.53-1+ubuntu20.04.1+deb.sury.org+1)的包。
- 看http://packages.ubuntu.com针对 Ubuntu 存储库中的当前软件包。
查看 PPA 的发布历史记录http://launchpad.net,似乎该软件包是在 2022 年 3 月发布的,也就是 CVE 披露前三个月。
- 换句话说,你的 PPA 提供的软件包可能容易受到攻击。取决于该特定漏洞的具体情况。
这是使用 PPA 的典型风险之一。您经常会获得较新的软件,但无法从 Ubuntu 安全团队获得 CVE 跟踪和修补。您只能从 PPA 维护者那里获得。有些维护者很棒,有些则不然。