ฉันกำลังใช้ Ubuntu 20.04.3 LTS (โฟกัส)
กับ XFCE DE
, บน เอเอ็มดี 64 บิต
เครื่องจักร. เมื่อฉันทำ ฉลาด
อัพเกรดวันนี้, the แพ็คเกจ: libcaca0
ได้รับการอัพเกรดดังต่อไปนี้:
แกะกล่อง **libcaca0:amd64 (0.99.beta19-2.1ubuntu1.20.04.2)** มากกว่า **(0.99.beta19-2.1ubuntu1.20.04.1)**
ฉันเพิ่ง googled ด้วยความอยากรู้อยากเห็นเพื่อดูว่าแพ็คเกจนี้ทำอะไร & พบหน้านี้: https://ubuntu.com/security/notices/USN-5119-1
มันบอกว่ามีช่องโหว่ด้านความปลอดภัยที่รู้จักในแพ็คเกจนี้ & จำเป็นต้องอัปเกรดเป็น: libcaca0 - 0.99.beta19-2.2ubuntu2.1
เพื่อบรรเทามัน อย่างไรก็ตาม อย่างที่คุณเห็น ฉลาด
อัพเกรดเป็นเวอร์ชั่นเท่านั้น 19-2.1
.
ฉันพยายามอัปเกรดแพ็คเกจเฉพาะโดยใช้
sudo apt-get --only-upgrade ติดตั้ง libcaca0
แต่มันบอกว่า libcaca0 เป็นเวอร์ชันใหม่ล่าสุดแล้ว (0.99.beta19-2.1ubuntu1.20.04.2)
.
หน้านี้ระบุว่าไม่มีการแก้ไขจนถึง 13-10-2021:
https://ubuntu.com/security/CVE-2021-30499
อย่างไรก็ตาม ตามหน้านี้ เวอร์ชั่น: 19.2.2
ได้รับการเผยแพร่เมื่อวันที่ 2021-03-20
https://launchpad.net/debian/+source/libcaca/0.99.beta19-2.2
และดูเหมือนว่าการดาวน์โหลดจะมีให้ที่:
https://launchpad.net/ubuntu/+source/libcaca/0.99.beta19-2.2ubuntu1.1
(ฉันสังเกตเห็นว่าหน้ายืนยันการเปิดตัวเป็นของ Debian ในขณะที่หน้าดาวน์โหลดชี้ไปที่ Ubuntu ฉันเชื่อว่าทั้งหน้าเผยแพร่และดาวน์โหลด จะ มีให้สำหรับทั้ง distros ดังนั้นคำถามจึงไม่เกี่ยวกับเรื่องนั้น)
คำถามของฉัน
หากมีเวอร์ชันแพ็คเกจให้ดาวน์โหลด (สำหรับ Ubuntu) ทำไม ฉลาด
ไม่สามารถอัปเกรดได้หรือไม่ เป็นเพราะการอนุมัติบางอย่างที่รอดำเนินการ? ถ้าใช่ ทำไมถึงมีให้ดาวน์โหลด?
ความตั้งใจของฉันไม่ใช่การบ่น แต่เป็นการกลั่นกรอง/ทำความเข้าใจกระบวนการ/เหตุผลทั่วไป & สิ่งที่ต้องทำในสถานการณ์แบบนี้/เหล่านี้ เช่น:
- ไม่ว่าจะดาวน์โหลด tar และติดตั้งหรือรอ
ฉลาด
รุ่นที่จะวางจำหน่าย
- ผู้ใช้ไม่ควรได้รับแจ้งเกี่ยวกับปัญหาดังกล่าว (โดยเฉพาะเรื่องช่องโหว่ด้านความปลอดภัย) หรือเป็นไปไม่ได้เลย
- หากแพ็คเกจมีช่องโหว่ เหตุใดแม้แต่การอัปเกรด apt จึงแนะนำ (และเป็นไปไม่ได้ที่จะลบออกจนกว่าจะมีการแก้ไข - แน่นอนว่าหากมีแพ็คเกจทางเลือกเพื่อให้ตรงกับการพึ่งพาอื่น ๆ )
- เป็นต้น
และถ้าเป็นไปได้ ผู้เชี่ยวชาญบางคนจะบันทึกเกี่ยวกับเทคนิคของช่องโหว่นี้ ว่ามันเกิดขึ้นได้อย่างไร/ทำไม ฯลฯ [ฉันรู้.. ฉันควรค้นหาด้วยตัวเอง.. แต่ถึงกระนั้น! :) ]. แม้ว่าฉันจะใช้มันมาระยะหนึ่งแล้ว แต่ฉันค่อนข้างใหม่สำหรับ Linux & ยังไม่ใช่ผู้ใช้หลัก - ปล่อยให้เป็นผู้สนับสนุน