eu folosesc Ubuntu 20.04.3 LTS (focal)
cu XFCE DE
, pe o AMD pe 64 de biți
mașinărie. Când am făcut-o apt
upgrade astăzi, the pachet: libcaca0
a fost actualizat după cum urmează:
Despachetarea **libcaca0:amd64 (0.99.beta19-2.1ubuntu1.20.04.2)** peste **(0.99.beta19-2.1ubuntu1.20.04.1)**
Tocmai am căutat pe google din curiozitate pentru a vedea ce face acest pachet și am întâlnit această pagină: https://ubuntu.com/security/notices/USN-5119-1
Se spune că există o vulnerabilitate de securitate cunoscută în acest pachet și că trebuie să fie actualizat la: libcaca0 - 0.99.beta19-2.2ubuntu2.1
, pentru a o atenua. Totuși, după cum puteți vedea, apt
doar upgrade la versiune 19-2.1
.
Am încercat să actualizez numai pachetul anume, folosind
sudo apt-get --only-upgrade install libcaca0
dar, se spune libcaca0 este deja cea mai nouă versiune (0.99.beta19-2.1ubuntu1.20.04.2).
.
Această pagină spune că nu există nicio remediere disponibilă până în 2021-10-13:
https://ubuntu.com/security/CVE-2021-30499
Cu toate acestea, conform acestei pagini, ver: 19.2.2
a fost lansat pe 2021-03-20.
https://launchpad.net/debian/+source/libcaca/0.99.beta19-2.2
Și, descărcarea pare să fie disponibilă la:
https://launchpad.net/ubuntu/+source/libcaca/0.99.beta19-2.2ubuntu1.1
(Am observat că pagina de confirmare a lansării aparține Debian, în timp ce pagina de descărcare indică Ubuntu. Cred că atât paginile de lansare, cât și cele de descărcare voi fie disponibil pentru ambele distribuții. Deci, întrebarea nu este despre asta.)
Intrebarea mea
Dacă versiunea pachetului este disponibilă pentru descărcare (pentru Ubuntu)? De ce apt
nu ai putut face upgrade la el? Este din cauza unei aprobări în așteptare? Dacă da, de ce există o descărcare disponibilă?
Intenția mea nu este să mă plâng, ci mai degrabă să examinez/înțeleg procesul/motivul generic și ce să fac în acest/acest tip de situații - cum ar fi:
- dacă să descărcați tar-ul disponibil și să instalați sau să așteptați
apt
versiunea să fie disponibilă,
- nu ar trebui să fie anunțați utilizatorii cu privire la astfel de probleme (mai ales cu privire la vulnerabilitățile de securitate) sau nu este deloc posibil,
- dacă pachetul are o vulnerabilitate, de ce chiar și upgrade-ul apt îl recomandă (și nu este posibil să îl eliminați până când este disponibilă o remediere - desigur, cu condiția să fie disponibil un pachet alternativ pentru a satisface alte dependențe)
- etc.
Și, dacă este posibil, niște note de experți cu privire la aspectele tehnice ale vulnerabilității, cum/de ce este cauzată etc. [Știu.. Ar trebui să o caut eu.. dar, totuși! :) ]. Chiar dacă îl folosesc de ceva vreme, sunt relativ nou în Linux și nu sunt încă un utilizator de bază - lăsați în pace un colaborator.