在撰写本文时(2023-08-12),针对英特尔 CPU 的 Downfall 攻击(CVE-2022-40982)正在进行中并且正在修补中。
根据Linux 软件包页面,似乎只有“The Lunar Lobster”(6.2.0)已更新(于 2023-08-10)以包含该补丁。较旧但仍受支持的版本,例如“The Jammy Jellyfish”(5.15.0)和“The Focal Fossa”(5.4.0),似乎尚未收到针对此问题的更新,因为最新版本早于 CVE 的日期。
我的理解是否正确?在安全修复方面,较新的版本将获得更高的优先级,并且最终必须应用于所有(受支持的)版本?
答案1
没有任何受支持的版本比其他受支持的版本具有更高的优先级。
由于多种原因,不同版本的 CVE 缓解措施可能会在不同时间出现。
一个常见的原因是,缓解版本 A 中的 CVE 可能很容易,而版本 B 中则更难。或者有时某个版本的缓解措施可能无法通过测试。在这种情况下,将上传版本 A 的成功缓解措施,同时继续进行版本 B 的工作。
另一个原因是,它的评估优先级太低,无法在现有资源下发挥作用:没有人抱怨。优先级是“中等”。没有人对其进行分类。还有其他优先级更高的 CVE 可以尽快解决。
您特别提到了特定的 CVE-2022-40982,那么让我们看一下以下摘录https://ubuntu.com/security/CVE-2022-40982,于 2023 年 8 月 14 日捕获:您可以看到,除一个版本外,所有受支持的版本都已发布缓解措施。在 apt 中检查您的软件包版本,看看您是否安装了修补版本。大多数用户通过无人值守升级自动收到 [修补版本。
如果您不同意 Ubuntu 安全团队对“中等”的评估,或者发现此漏洞正在被利用,请直接与 Ubuntu 安全团队讨论你的疑虑。他们非常友善,愿意倾听。不要在这里讨论他们 - AskUbuntu 不是安全团队。