Ubuntu

我怎麼知道 Ubuntu 18.04 Bionic 最新的 OpenSSL 真的是 1.1.1n?

  • March 23, 2022

根據 Ubuntu 的CVE-2022-0778,此版本應解決 CVE。但是,當我查看 OpenSSL 版本時,我無法確定它是 1.1.1n。我確實看到它是在 3 月 9 日之前建構的:

  • OpenSSL 向公眾提供原始碼
  • Ubuntu 發行版管理器將 OpenSSL 1.1.1n 導入他們的倉庫(可能只是一個面向公眾的倉庫)

那麼,我怎麼知道這真的是 1.1.1n 呢?

升級後的Ubuntu 18.04系統

OpenSSL 1.1.1  11 Sep 2018
built on: Wed Mar  9 12:13:40 2022 UTC
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=. 
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE 
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM 
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM 
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM 
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM 
-DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific

發行版維護者

Ubuntu 倉庫:https ://git.launchpad.net/ubuntu/+source/openssl

標籤:

* 3b83ed56dea2b735e31731fd042b52ff869f9a97 - 
(tag: import/1.1.1n-1, origin/debian/sid) 1.1.1n-1 
(patches unapplied) (c: Wed, 16 Mar 2022 04:33:58 +0000) 
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Siewior>%

applied/1.1.1n-1
*   d4d5eeef3576b16013c48abc435c5da889cedf1b - (tag: applied/1.1.1n-1, 
origin/applied/debian/sid) 1.1.1n-1 (patches applied) 
(c: Wed, 16 Mar 2022 04:33:58 +0000) 
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Si

一旦安全更新處於已發布狀態,簡單的操作就是應用更新, apt update && apt upgrade

考慮實施某種更新檔管理報告,以確認所有主機都已更新並符合要求。這些範圍從簡單的腳本到您可能購買的產品。

那麼,我怎麼知道這真的是 1.1.1n 呢?

Ubuntu 對 CVE-2022-0778 的修復不是 1.1.1n。與其他穩定發行版一樣,他們習慣於僅將特定修復程序向後移植到他們選擇的版本。再讀一遍表格,注意 bionic 是openssl 1.1.1-1ubuntu2.1~18.04.15 末尾附加的看起來很有趣的版本字元串很重要,它指示了哪個建構。

在 openssl 之前建構於 3 月 9 日,向公眾提供原始碼

建構和測試軟體需要時間。與其他發行版一樣,Ubuntu 也在一份名單上,以便在一般公告之前得到通知。減少使用者暴露於缺陷的時間。

建構日期可以很好地檢查您是否具有所需的更新檔級別,但要意識到可以在上游發布之前建構,而無需時間機器。

Ubuntu 發行版管理器將 openssl 1.1.1n 導入他們的倉庫(可能只是一個面向公眾的倉庫)

謹防對版本控制中的內容實際用於修復您的版本做出結論。根據分支名稱,與 Debian sid 或上游版本相比,這可能與 Ubuntu 有關。不是仿生的。

請參閱安全公告。

引用自:https://serverfault.com/questions/1096683