Score:4

ฉันจะรู้ได้อย่างไรว่า OpenSSL ล่าสุดของ Ubuntu 18.04 Bionic เป็น 1.1.1n จริงๆ

ธง cn

ตามที่อูบุนตู CVE-2022-0778 นี้ ปล่อย ควรกล่าวถึง CVE อย่างไรก็ตาม เมื่อฉันดูเวอร์ชัน OpenSSL ฉันไม่สามารถบอกได้ว่าเป็น 1.1.1n ฉันเห็นว่ามันถูกสร้างขึ้นเมื่อวันที่ 9 มีนาคมก่อน:

  • OpenSSL ทำให้ซอร์สเข้าถึงได้แบบสาธารณะ
  • ผู้จัดการ distro ของ Ubuntu นำเข้า OpenSSL 1.1.1n ไปยัง repo (ซึ่งอาจเป็น repo ที่เปิดเผยต่อสาธารณะ)

แล้วฉันจะรู้ได้อย่างไรว่านี่คือ 1.1.1n จริง ๆ

ระบบ Ubuntu 18.04 หลังจากอัพเกรด

OpenSSL 1.1.1 11 ก.ย. 2561
สร้างเมื่อ: วันพุธที่ 9 มีนาคม 12:13:40 น. 2022 UTC
แพลตฟอร์ม: debian-amd64
ตัวเลือก: bn(64,64) rc4(16x,int) des(int) ปักเป้า(ptr)
คอมไพเลอร์: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=. 
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE 
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM 
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM 
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM 
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM 
-DNDEBUG -วันที่-เวลา -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
แหล่งที่มาของการเพาะ: ระบบปฏิบัติการเฉพาะ

ผู้ดูแล Distro

อูบุนตู Repo: https://git.launchpad.net/ubuntu/+source/openssl

แท็ก:

* 3b83ed56dea2b735e31731fd042b52ff869f9a97 - 
(แท็ก: นำเข้า/1.1.1n-1, ต้นทาง/เดเบียน/ซิด) 1.1.1n-1 
(แพทช์ยังไม่ได้ใช้) (ค: พุธ 16 มี.ค. 2022 04:33:58 +0000) 
(a: อังคาร 15 มี.ค. 2565 19:46:18 +0100) <Sebastian Andrzej Siewior>%

ประยุกต์/1.1.1n-1
* d4d5eeef3576b16013c48abc435c5da889cedf1b - (แท็ก: นำไปใช้/1.1.1n-1, 
origin/applied/debian/sid) 1.1.1n-1 (ใช้แพตช์) 
(ค: พุธ 16 มี.ค. 2565 04:33:58 +0000) 
(a: อ. 15 มี.ค. 2022 19:46:18 +0100) <Sebastian Andrzej Si
Score:6
ธง cn

เมื่อการอัปเดตความปลอดภัยอยู่ในสถานะเผยแพร่แล้ว สิ่งง่ายๆ ที่ต้องทำคือใช้การอัปเดต ปรับปรุง apt && อัพเกรด apt

พิจารณาใช้รายงานการจัดการแพตช์บางประเภทเพื่อยืนยันว่าโฮสต์ทั้งหมดได้รับการอัปเดตและเป็นไปตามข้อกำหนด มีตั้งแต่สคริปต์ง่าย ๆ ไปจนถึงผลิตภัณฑ์ที่คุณอาจซื้อ

แล้วฉันจะรู้ได้อย่างไรว่านี่คือ 1.1.1n จริง

การแก้ไขของ Ubuntu สำหรับ CVE-2022-0778 ไม่ใช่ 1.1.1n เช่นเดียวกับการกระจายที่เสถียรอื่น ๆ พวกเขามีนิสัยชอบแบ็คพอร์ตเฉพาะการแก้ไขเฉพาะไปยังเวอร์ชันที่เลือก อ่านตารางอีกครั้ง และสังเกตว่าไบโอนิคคือ opensl 1.1.1-1ubuntu2.1~18.04.15 สตริงเวอร์ชันที่ดูตลกที่ต่อท้ายเป็นสิ่งสำคัญ มันบ่งบอกว่าบิลด์ใด

สร้างขึ้นเมื่อวันที่ 9 มีนาคมก่อนที่จะมี openssl ทำให้แหล่งข้อมูลพร้อมใช้งานต่อสาธารณะ

การสร้างและทดสอบซอฟต์แวร์ต้องใช้เวลา Ubuntu เช่นเดียวกับ distros อื่น ๆ อยู่ในรายการเพื่อรับการแจ้งเตือนก่อนการประกาศทั่วไป ลดเวลาที่ผู้ใช้สัมผัสกับข้อบกพร่อง

วันที่สร้างเป็นการตรวจสอบสุขภาพจิตที่ดีว่าคุณมีระดับแพตช์ที่จำเป็น แต่ตระหนักว่าเป็นไปได้ที่จะสร้างก่อนการประกาศของอัพสตรีมโดยไม่จำเป็นต้องมีไทม์แมชชีน

ผู้จัดการ distro ของ Ubuntu นำเข้า opensl 1.1.1n ไปยัง repo ของพวกเขา (ซึ่งอาจเป็นเพียง repo ที่เปิดเผยต่อสาธารณะ)

ระวังการสรุปว่าสิ่งใดในการควบคุมเวอร์ชันที่จะแก้ไขเวอร์ชันของคุณตามชื่อสาขาซึ่งอาจเกี่ยวข้องกับ Ubuntu เมื่อเปรียบเทียบกับ Debian sid หรือรุ่นอัพสตรีม ไม่ใช่ไบโอนิค

โปรดดูคำแนะนำด้านความปลอดภัย

Peter Kahn avatar
cn flag
ขอบคุณสำหรับสิ่งนี้. สิ่งนี้ช่วยได้จริงๆ
Score:4
ธง cn

แล้วฉันจะรู้ได้อย่างไรว่านี่คือ 1.1.1n จริง

มันจะไม่เป็น 1.1.1n อย่างที่ John Mahowald พูด Ubuntu จะ backported การแก้ไขเป็นเวอร์ชันที่รองรับสำหรับ 18.04 ซึ่งจากตารางที่เชื่อมโยงคือ 1.1.1-1ubuntu2.1~18.04.15

คุณสามารถค้นหาว่ามีการติดตั้งแพ็คเกจ openssl ใดในระบบของคุณโดยใช้

รายการ apt --installed | grep opensl

คุณสามารถตรวจสอบบันทึกการเปลี่ยนแปลงเพื่อดูว่ามีการปรับใช้/แบ็คพอร์ตการอัปเดตใดบ้าง

apt-get บันทึกการเปลี่ยนแปลง opensl 

หรือแม้แต่ดูบน Ubuntu เซิร์ฟเวอร์บันทึกการเปลี่ยนแปลง.

บันทึกการเปลี่ยนแปลงยืนยันว่า opensl 1.1.1-1ubuntu2.1~18.04.15 มีการใช้แพตช์สำหรับ CVE-2022-0778

Benjamin Hastings avatar
ne flag
สำหรับ Ubuntu 20.04.4 LTS ฉันถือว่าแพตช์อยู่ใน openssl 1.1.1f ตามการเปลี่ยนแปลง: * openssl (1.1.1f-1ubuntu2.12) focal-security; เร่งด่วน = ปานกลาง * การอัปเดตความปลอดภัย: การวนซ้ำไม่สิ้นสุดใน BN_mod_sqrt() - debian/patches/CVE-2022-0778-1.patch: แก้ไขลูปไม่สิ้นสุดใน crypto/bn/bn_sqrt.c. - debian/patches/CVE-2022-0778-2.patch: เพิ่มเอกสารของ BN_mod_sqrt() ใน doc/man3/BN_add.pod
John Mahowald avatar
cn flag
ไม่จำเป็นต้องสันนิษฐาน คำแนะนำด้านความปลอดภัยระบุว่าโฟกัสคือ 1.1.1f-1ubuntu2.12 อีกครั้ง สตริงรีลีสที่ส่วนท้ายมีความสำคัญในการระบุว่าบิวด์ใดมีการแก้ไขแบ็คพอร์ต - อัพสตรีม 1.1.1f คือ 31 มี.ค. 2020 และไม่มีสิ่งนี้ บันทึกการเปลี่ยนแปลงแพ็คเกจเป็นสิ่งที่ดีที่จะยืนยัน แต่การอ้างอิงหลักควรเป็นคำแนะนำ
Score:0
ธง us

พิมพ์

รุ่น opensl

ที่พรอมต์คำสั่ง

ของฉันให้

OpenSSL 1.1.1m 14 ธ.ค. 2021

John Mahowald avatar
cn flag
เวอร์ชัน OpenSSL นั้นไม่เพียงพอ เนื่องจากมีแบ็คพอร์ตอยู่ นี่เป็นข้อผิดพลาดเดียวกันกับการสแกนช่องโหว่ที่ไม่ซับซ้อน อ่านคำแนะนำ
user2829154 avatar
us flag
ฉันเดาว่า backport จะแสดงสตริงเวอร์ชันอื่นด้วยหากเป็นเวอร์ชันอื่น: มันกำลังเรียก openssl โดยตรง

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา