Score:8

Ubuntu

วิธีอัปเดต glibc บน Ubuntu 20.04 เนื่องจากช่องโหว่ด้านความปลอดภัย

lcfc

20/4/23 18:22

ฉันกำลังพยายามอัปเดต glibc 2.31-0ubuntu9.2 เนื่องจากการสแกนภายในพบว่าสิ่งนี้มีช่องโหว่

https://nvd.nist.gov/vuln/detail/CVE-2021-33574#range-6777140

เมื่อฉันใช้ sudo apt-get update จากนั้น sudo apt install glibc ฉันก็ไม่ได้อะไรเลย

ความคิดใด ๆ ?

ขอบคุณล่วงหน้า.

759

0 + 0

ความปลอดภัย

20.04

Hannu

20/4/23 20:18

โดยทั่วไปแล้ว "เป็นความคิดที่ค่อนข้างแย่" ที่จะพยายามอัปเดตการแจกจ่ายที่สร้างโดยชุมชน (หรือบางส่วน) ด้วยตัวคุณเอง คุณต้องรู้ตัวเลือกภายในเล็กน้อยในการแจกจ่ายจริง และฉันเชื่อว่า: จับคู่ตัวเลือกเวลาคอมไพล์กับสิ่งเหล่านั้น ความพยายามที่จะแทนที่แพ็คเกจโดยการรวบรวมแหล่งที่มาแบบสุ่ม แม้ว่า "ล่าสุด" และ "รวมเวอร์ชันที่เก่ากว่าแล้ว" ต้องใช้ความรู้จำนวนมาก

ตอบกลับ

lcfc

20/4/23 20:22

ปัญหาที่เรามีคือเราปฏิบัติตามมาตรฐาน PCI และหนึ่งในข้อกำหนดคือการสแกนภายในการสแกนภายในเหล่านี้กำลังตรวจจับช่องโหว่ประเภทนี้ ดังนั้นเราจำเป็นต้องอัปเดตช่องโหว่ดังกล่าว หรือเราลบออกแต่ฉันกังวลเกี่ยวกับการลบมากเกินไปเนื่องจากคุณไม่รู้ว่าจำเป็นต้องดำเนินการอะไรอีก

ตอบกลับ

Hannu

20/4/23 20:26

ถ้าอย่างนั้นฉันเข้าใจแล้วว่าทำไมคุณถึงต้องลอง คุณอาจมีใบรับรองบางอย่างเพื่อให้ทัน

ตอบกลับ

user535733

20/4/23 20:47

ดูคำอธิบายช่องโหว่ได้ที่ https://ubuntu.com/security/CVE-2021-33574 มีลำดับความสำคัญต่ำ (ดังนั้นแพตช์อาจถูกแบ็คพอร์ตหรือไม่ก็ได้) สถานการณ์กรณีที่เลวร้ายที่สุดดูเหมือนว่าผู้โจมตีสามารถทำให้เกิดข้อขัดข้อง (ไม่ใช่การเปิดเผยข้อมูล ไม่ใช่การเพิ่มระดับสิทธิ์ ไม่ใช่การใช้รหัสโดยอำเภอใจ) ไม่น่าจะถูกใช้เนื่องจากมีความซับซ้อน -- ต้องมีการโจมตีอื่นจึงจะประสบความสำเร็จ

ตอบกลับ

user535733

20/4/23 20:52

เนื่องจากปรากฏขึ้นในการสแกน PCI ของคุณ ฉันจะแปลกใจถ้า CVE ถูกละเว้น เป็นไปได้ว่า CVE เดียวกันจะปรากฏขึ้นในการสแกนของลูกค้า Ubuntu Advantage หากเป็นเช่นนั้น วิศวกรของ Canonical จะนำโปรแกรมแก้ไขไปใช้ในที่สุด หลังจากการทดสอบที่เหมาะสม ทีมความปลอดภัยของ Ubuntu จะส่งแพคเกจที่อัปเดต อย่างไรก็ตาม หากคุณต้องการรอให้คนอื่นทำงานแบ็คพอร์ตให้คุณ (หรือจ่ายค่างาน) ให้เตรียมใจให้พร้อม

ตอบกลับ

lcfc

20/4/23 21:50

วาซูห์เป็นคนหยิบมันขึ้นมา ฉันคิดว่าระบบของพวกเขาทำงานอย่างไรโดยใช้ฐานข้อมูล CVE และนี่คือเหตุผลว่าทำไมจึงเลือกช่องโหว่ประเภทนี้ขึ้นมา

ตอบกลับ

Score:12

Ubuntu

N0rbert

20/4/23 18:31

ตาม https://ubuntu.com/security/CVE-2021-33574 , https://launchpad.net/bugs/cve/CVE-2021-33574 และ https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1927192 คุณต้องรอเมื่อ "Fix Committed" จะกลายเป็น "Fix Released" สำหรับ Ubuntu 20.04 LTS (Focal Fossa)

0 + 0

lcfc

20/4/23 20:16

ขอบคุณสำหรับสิ่งนั้น มีประโยชน์มาก คุณพบบิตใดใน https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1927192 ได้อย่างไร เหตุผลที่ฉันถามคือฉันต้องการเปรียบเทียบสิ่งนี้กับช่องโหว่อื่น ๆ ที่ฉันพบและดูว่าพวกเขากำลังแก้ไขสิ่งนี้หรือไม่ ฯลฯ

ตอบกลับ

terdon

21/4/23 15:59

@lcfc หากคำตอบข้อใดข้อหนึ่งแก้ไขปัญหาของคุณได้ โปรดใช้เวลาสักครู่และ [ยอมรับ](//askubuntu.com/help/someone-answers) โดยคลิกที่เครื่องหมายถูกทางด้านซ้าย นั่นเป็นวิธีที่ดีที่สุดในการแสดงความขอบคุณบนเว็บไซต์ Stack Exchange

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How to update glibc on ubuntu 20.04 due to security vulnerability

TH: วิธีอัปเดต glibc บน Ubuntu 20.04 เนื่องจากช่องโหว่ด้านความปลอดภัย

RO: Cum se actualizează glibc pe ubuntu 20.04 din cauza vulnerabilității de securitate

RU: Как обновить glibc на Ubuntu 20.04 из-за уязвимости системы безопасности

VI: Cách cập nhật glibc trên Ubuntu 20.04 do lỗ hổng bảo mật

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา