我想以此 CVE 为例:
https://ubuntu.com/security/CVE-2018-12020
如果gnupg2
它说它是为 jammy 发布的。
首先,发布到底是什么意思?
我发现这个描述但基于此,我不确定我应该看到什么
当我在 ubuntu 软件包页面上检查它时,它有一个旧版本:
https://packages.ubuntu.com/jammy-updates/gnupg2
https://packages.ubuntu.com/jammy/gnupg2
另外,如果我使用此命令,它会显示相同的内容:(apt-cache policy gnupg2
在此之前我做了更新)
我不确定我应该如何解释这一点,而且到目前为止我还没有找到正确的文档,这就是我向社区求助的原因。
那么,提到的 CVE 中是否有适用于 jammy 的版本?如果有,那么如何解释?
答案1
我不太清楚你的顾虑(或问题)的全部细节,但以下是我的看法:
包裹
gnupg2
是一个“过渡包”,它只是安装该包gnupg
(可能在之后gnupg2
成为默认包gnupg1
)。CVE 明确指出“2.2.8 之前的 GnuPG 在解密过程中对原始文件名处理错误...”
自
gnupg
Jammy 的版本是2.2.27-3ubuntu2.1
,很明显这个包不受影响。查看漏洞漏洞在和下gnupg
,jammy
它只是说“不存在”。
不过,我必须承认,我也不完全理解为什么 Canonical一直引用从 Ubuntu 18.10 到 23.10 的2.2.8-1
版本。gnupg2
我的猜测是,该gnupg2
软件包在某个时候受到了影响,但是在 Ubuntu 18.04 和 20.04 之间从版本 1 切换到版本 2Universe
后,这种情况不再存在。gnupg
我想我的主要观点是,你不需要太担心这个特定的 CVE。