înregistrare Logare
Puncte:8
avatar Ubuntu

Cum se actualizează glibc pe ubuntu 20.04 din cauza vulnerabilității de securitate

drapel de
lcfc

Încerc să actualizez glibc 2.31-0ubuntu9.2. Deoarece o scanare internă a constatat acest lucru ca fiind vulnerabil.

https://nvd.nist.gov/vuln/detail/CVE-2021-33574#range-6777140

Când folosesc sudo apt-get update, apoi sudo apt install glibc, nu ajung nicăieri cu el.

Vreo idee?

Mulțumesc anticipat.

759
0 + 0
Hannu avatar
drapel ca
Hannu
În general, este „o idee destul de proastă” să încerci să actualizezi singur distribuțiile construite în comunitate (sau o parte din ele). Trebuie să știți destul de multe despre opțiunile interne din distribuția actuală și cred: potriviți opțiunile de compilare cu acestea. Încercarea de a înlocui un pachet prin compilarea unei surse aleatorii, deși „cea mai recentă” și „versiunea mai veche deja inclusă” necesită o cantitate bună de cunoștințe.
0
Răspunde
drapel de
lcfc
Problema pe care o avem este că suntem conforme cu PCI și una dintre cerințe este efectuarea de scanări interne.Aceste scanări interne detectează astfel de vulnerabilități, așa că trebuie să le actualizăm. Sau le eliminăm, dar îmi fac griji că elimin prea multe, deoarece nu știi ce altceva are nevoie de acest lucru pentru a rula.
0
Răspunde
Hannu avatar
drapel ca
Hannu
Ei bine, atunci văd de ce trebuie să încerci; probabil că aveți un fel de certificare cu care să țineți pasul.
0
Răspunde
user535733 avatar
drapel cn
user535733
Consultați explicația vulnerabilității la https://ubuntu.com/security/CVE-2021-33574. Are prioritate scăzută (deci patch-ul poate fi sau nu retroportat). Scenariul cel mai rău pare să fie că un atacator poate provoca o prăbușire (nu eliberarea de informații, nu escaladarea privilegiilor, nu executarea de cod arbitrar). Este puțin probabil să fie folosit, deoarece este complex -- necesită ca alte atacuri să fi reușit deja.
1
Răspunde
user535733 avatar
drapel cn
user535733
Deoarece apare pe scanarea PCI, aș fi surprins dacă CVE este ignorat; este posibil ca același CVE să apară pe scanarea unui client Ubuntu Advantage. Dacă da, un inginer Canonical va aplica în cele din urmă patch-ul. După testarea adecvată, pachetul actualizat va fi împins de echipa de securitate Ubuntu. Cu toate acestea, dacă doriți să așteptați ca altcineva să facă acea lucrare de backporting pentru dvs. (sau să plătească pentru munca), fiți pregătit să aveți răbdare.
1
Răspunde
drapel de
lcfc
Wazuh este cel care îl ridică. Cred că modul în care funcționează sistemul lor este că folosește baza de date CVE și de aceea detectează astfel de vulnerabilități.
0
Răspunde
Puncte:12
N0rbert avatar Ubuntu
drapel zw
N0rbert

Conform https://ubuntu.com/security/CVE-2021-33574 , https://launchpad.net/bugs/cve/CVE-2021-33574 și https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1927192 trebuie să așteptați când „Fix Committed” va deveni „Fix Released” pentru Ubuntu 20.04 LTS (Focal Fossa).

0 + 0
drapel de
lcfc
Mulțumesc pentru că. De mare ajutor. Cum ați găsit ce bit exact în https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1927192. Motivul pentru care întreb este că aș dori să compar asta cu alte vulnerabilități pe care le găsesc și să văd dacă lucrează la corectarea, etc.
2
Răspunde
terdon avatar
drapel cn
terdon
@lcfc Dacă unul dintre răspunsurile de aici a rezolvat problema dvs., vă rugăm să luați un moment și [acceptați-l](//askubuntu.com/help/someone-answers) făcând clic pe bifa din stânga. Acesta este cel mai bun mod de a vă exprima mulțumirile pe site-urile Stack Exchange.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.