Ubuntu CVE 状态解读,该软件包真的发布了吗?

Ubuntu CVE 状态解读,该软件包真的发布了吗?

我想以此 CVE 为例:
https://ubuntu.com/security/CVE-2018-12020
如果gnupg2它说它是为 jammy 发布的。
首先,发布到底是什么意思?
我发现这个描述但基于此,我不确定我应该看到什么

当我在 ubuntu 软件包页面上检查它时,它有一个旧版本:
https://packages.ubuntu.com/jammy-updates/gnupg2
https://packages.ubuntu.com/jammy/gnupg2
另外,如果我使用此命令,它会显示相同的内容:(apt-cache policy gnupg2在此之前我做了更新)


我不确定我应该如何解释这一点,而且到目前为止我还没有找到正确的文档,这就是我向社区求助的原因。

那么,提到的 CVE 中是否有适用于 jammy 的版本?如果有,那么如何解释?

答案1

我不太清楚你的顾虑(或问题)的全部细节,但以下是我的看法:

  1. 包裹gnupg2是一个“过渡包”,它只是安装该包gnupg(可能在之后gnupg2成为默认包gnupg1)。

  2. CVE 明确指出“2.2.8 之前的 GnuPG 在解密过程中对原始文件名处理错误...”

  3. gnupgJammy 的版本是2.2.27-3ubuntu2.1,很明显这个包不受影响。查看漏洞漏洞在和下gnupgjammy它只是说“不存在”。

不过,我必须承认,我也不完全理解为什么 Canonical一直引用从 Ubuntu 18.10 到 23.10 的2.2.8-1版本。gnupg2

我的猜测是,该gnupg2软件包在某个时候受到了影响,但是在 Ubuntu 18.04 和 20.04 之间从版本 1 切换到版本 2Universe后,这种情况不再存在。gnupg

我想我的主要观点是,你不需要太担心这个特定的 CVE。

相关内容