înregistrare Logare
Puncte:4
Peter Kahn avatar Server

De unde știu că cel mai recent OpenSSL al Ubuntu 18.04 Bionic este cu adevărat 1.1.1n?

drapel cn
Peter Kahn

Potrivit lui Ubuntu CVE-2022-0778 acest eliberare ar trebui să se adreseze CVE. Cu toate acestea, când mă uit la versiunea OpenSSL, nu pot spune cu adevărat că este 1.1.1n. Văd că a fost construit pe 9 martie înainte de:

  • OpenSSL face sursa disponibilă publicului
  • Managerii de distribuție Ubuntu care importă OpenSSL 1.1.1n în depozitul lor (care poate fi doar un depozit public)

Deci, de unde aș știu că acesta este cu adevărat 1.1.1n?

Sistemul Ubuntu 18.04 după actualizare

OpenSSL 1.1.1 11 septembrie 2018
construit pe: miercuri 9 mar 12:13:40 2022 UTC
platforma: debian-amd64
opțiuni: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compilator: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=. 
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE 
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM 
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM 
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM 
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM 
-DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: „/usr/lib/ssl”
ENGINEDIR: „/usr/lib/x86_64-linux-gnu/engines-1.1”
Sursa de însămânțare: os-specific

Distro Maintainer

Ubuntu Repo: https://git.launchpad.net/ubuntu/+source/openssl

Etichete:

* 3b83ed56dea2b735e31731fd042b52ff869f9a97 - 
(etichetă: import/1.1.1n-1, origin/debian/sid) 1.1.1n-1 
(patch-uri neaplicate) (c: miercuri, 16 martie 2022 04:33:58 +0000) 
(a: marți, 15 mar 2022 19:46:18 +0100) <Sebastian Andrzej Siewior>%

aplicat/1.1.1n-1
* d4d5eeef3576b16013c48abc435c5da889cedf1b - (etichetă: aplicat/1.1.1n-1, 
origin/applied/debian/sid) 1.1.1n-1 (patch-uri aplicate) 
(c: miercuri, 16 martie 2022 04:33:58 +0000) 
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Si
1511
0 + 0
Puncte:6
John Mahowald avatar Server
drapel cn
John Mahowald

Odată ce o actualizare de securitate este lansată, lucrul simplu de făcut este să aplicați actualizări, apt update && apt upgrade

Luați în considerare implementarea unui fel de raport de gestionare a corecțiilor pentru a confirma că toate gazdele sunt actualizate și conforme. Acestea variază de la scripturi simple la produse pe care le puteți cumpăra.

Deci, de unde aș ști că acesta este cu adevărat 1.1.1n?

Remedierea Ubuntu pentru CVE-2022-0778 nu este 1.1.1n. La fel ca și alte distribuții stabile, au obiceiul de a face backport doar remedierea specifică a versiunii alese. Citiți din nou tabelul și observați că bionic este openssl 1.1.1-1ubuntu2.1~18.04.15 Șirul de versiune cu aspect amuzant atașat la sfârșit este important, indică ce construcție.

construiți pe 9 martie înainte ca openssl să pună sursa disponibilă publicului

Este nevoie de timp pentru a construi și testa software-ul. Ubuntu, ca și alte distribuții, se află pe o listă pentru a fi notificat înainte de anunțul general. Reduce timpul în care utilizatorii sunt expuși la defecte.

O dată de construire este o verificare bună a faptului că aveți nivelul de patch-uri necesar, dar realizați că este posibil să fie construit înainte de anunțul din amonte fără a avea nevoie de o mașină a timpului.

Managerii de distribuție Ubuntu care importă openssl 1.1.1n în depozitul lor (care poate fi doar un depozit public)

Feriți-vă de a trage concluzii cu privire la ceea ce în controlul versiunii este de fapt o remediere pentru versiunea dvs.Pe baza numelor de ramuri, probabil că are de-a face cu Ubuntu în comparație cu versiunile Debian sid sau din amonte. Nu bionic.

Consultați avizul de securitate.

0 + 0
Peter Kahn avatar
drapel cn
Peter Kahn
Multumesc pentru asta. Acest lucru chiar ajută.
0
Răspunde
Puncte:4
user9517 avatar Server
drapel cn
user9517

Deci, de unde aș ști că acesta este cu adevărat 1.1.1n?

nu va fi 1.1.1n, deoarece, după cum spune John Mahowald, Ubuntu va fi portat remedierea în versiunea lor acceptată pentru 18.04, care din tabelul legat este 1.1.1-1ubuntu2.1~18.04.15.

Puteți afla ce pachete openssl sunt instalate pe sistemul dvs. folosind

apt list --installed | grep openssl

Puteți examina jurnalul de modificări pentru a vedea ce actualizări au fost aplicate/reportate

apt-get changelog openssl

sau chiar uitați-vă pe Ubuntu server de jurnal de modificări.

Jurnalul de modificări confirmă că openssl 1.1.1-1ubuntu2.1~18.04.15 are aplicate patch-uri pentru CVE-2022-0778.

0 + 0
Benjamin Hastings avatar
drapel ne
Benjamin Hastings
Pentru Ubuntu 20.04.4 LTS, presupun că patch-ul este în openssl 1.1.1f conform jurnalului de modificări: * openssl (1.1.1f-1ubuntu2.12) focal-security; urgență=medie * ACTUALIZARE DE SECURITATE: buclă infinită în BN_mod_sqrt() - debian/patches/CVE-2022-0778-1.patch: remediați bucla infinită crypto/bn/bn_sqrt.c. - debian/patches/CVE-2022-0778-2.patch: adăugați documentația BN_mod_sqrt() în doc/man3/BN_add.pod.
0
Răspunde
John Mahowald avatar
drapel cn
John Mahowald
Nu trebuie să presupunem, avizul de securitate spune că focalul este 1.1.1f-1ubuntu2.12. Din nou, șirul de lansare de la sfârșit este important pentru a indica care build are remedierea backported - în amonte 1.1.1f este 31 martie 2020 și nu are aceasta. Un jurnal de modificare a pachetului este bine de confirmat, dar referința principală ar trebui să fie avizul.
0
Răspunde
Puncte:0
user2829154 avatar Server
drapel us
user2829154

Tip

versiunea openssl

La promptul de comandă

Al meu dă

OpenSSL 1.1.1m 14 decembrie 2021

0 + 0
John Mahowald avatar
drapel cn
John Mahowald
Versiunea OpenSSL nu este, din păcate, suficientă, deoarece există backport-uri. Aceasta este aceeași greșeală pe care o fac scanările nesofisticate de vulnerabilități. Citiți avizul.
1
Răspunde
user2829154 avatar
drapel us
user2829154
Bănuiesc că un backport ar arăta și un șir de versiune diferit dacă este o versiune diferită: apelează direct openssl.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.