Tham gia Đăng nhập
Điểm:4
Peter Kahn avatar Server

Làm cách nào để biết OpenSSL mới nhất của Ubuntu 18.04 Bionic thực sự là 1.1.1n?

lá cờ cn
Peter Kahn

Theo Ubuntu CVE-2022-0778 cái này giải phóng nên giải quyết CVE. Tuy nhiên, khi tôi nhìn vào phiên bản OpenSSL, tôi thực sự không thể nói đó là 1.1.1n. Tôi thấy rằng nó được xây dựng vào ngày 9 tháng 3 trước:

  • OpenSSL cung cấp nguồn cho công chúng
  • Các nhà quản lý bản phân phối Ubuntu nhập OpenSSL 1.1.1n vào kho lưu trữ của họ (có thể chỉ là một kho lưu trữ công khai)

Vì vậy, làm thế nào tôi biết rằng đây thực sự là 1.1.1n?

Hệ thống Ubuntu 18.04 sau khi nâng cấp

OpenSSL 1.1.1 ngày 11 tháng 9 năm 2018
được xây dựng vào: Thứ tư ngày 9 tháng 3 12:13:40 2022 UTC
nền tảng: debian-amd64
tùy chọn: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
trình biên dịch: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=. 
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE 
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM 
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM 
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM 
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM 
-DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ĐỘNG CƠ: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Nguồn giống: dành riêng cho hệ điều hành

Người bảo trì phân phối

Kho lưu trữ Ubuntu: https://git.launchpad.net/ubuntu/+source/openssl

thẻ:

* 3b83ed56dea2b735e31731fd042b52ff869f9a97 - 
(thẻ: nhập/1.1.1n-1, nguồn gốc/debian/sid) 1.1.1n-1 
(các bản vá chưa được áp dụng) (c: Thứ tư, ngày 16 tháng 3 năm 2022 04:33:58 +0000) 
(a: Thứ ba, ngày 15 tháng 3 năm 2022 19:46:18 +0100) <Sebastian Andrzej Siewior>%

áp dụng/1.1.1n-1
* d4d5eeef3576b16013c48abc435c5da889cedf1b - (thẻ: đã áp dụng/1.1.1n-1, 
origin/applied/debian/sid) 1.1.1n-1 (đã áp dụng các bản vá lỗi) 
(c: Thứ tư, ngày 16 tháng 3 năm 2022 04:33:58 +0000) 
(a: Thứ ba, ngày 15 tháng 3 năm 2022 19:46:18 +0100) <Sebastian Andrzej Si
1511
0 + 0
Điểm:6
John Mahowald avatar Server
lá cờ cn
John Mahowald

Khi một bản cập nhật bảo mật ở trạng thái được phát hành, điều đơn giản cần làm là áp dụng các bản cập nhật, cập nhật apt && nâng cấp apt

Cân nhắc triển khai một số loại báo cáo quản lý bản vá để xác nhận rằng tất cả các máy chủ đều được cập nhật và tuân thủ. Chúng bao gồm từ các tập lệnh đơn giản đến các sản phẩm bạn có thể mua.

Vì vậy, làm thế nào tôi biết rằng đây thực sự là 1.1.1n?

Bản sửa lỗi của Ubuntu cho CVE-2022-0778 không phải là 1.1.1n. Giống như các bản phân phối ổn định khác, họ có thói quen chỉ nhập bản sửa lỗi cụ thể vào phiên bản đã chọn của họ. Đọc lại bảng và nhận thấy rằng bionic là openssl 1.1.1-1ubuntu2.1~18.04.15 Chuỗi phiên bản trông buồn cười được thêm vào cuối rất quan trọng, nó cho biết bản dựng nào.

xây dựng vào ngày 9 tháng 3 trước khi openssl cung cấp nguồn cho công chúng

Phải mất thời gian để xây dựng và thử nghiệm phần mềm. Ubuntu, giống như các bản phân phối khác, nằm trong danh sách được thông báo trước khi có thông báo chung. Giảm thời gian người dùng tiếp xúc với sai sót.

Ngày xây dựng là một cách kiểm tra tốt để đảm bảo rằng bạn có cấp bản vá cần thiết, nhưng nhận ra rằng có thể xây dựng trước thông báo của thượng nguồn mà không cần cỗ máy thời gian.

Các trình quản lý bản phân phối Ubuntu nhập openssl 1.1.1n vào kho lưu trữ của họ (có thể chỉ là một kho lưu trữ công khai)

Cẩn thận khi đưa ra kết luận về những gì trong kiểm soát phiên bản thực sự đưa vào bản sửa lỗi cho phiên bản của bạn.Dựa trên các tên nhánh, điều đó có thể liên quan đến Ubuntu so với các bản phát hành ngược dòng hoặc phụ của Debian. Không sinh học.

Tham khảo tư vấn bảo mật.

0 + 0
Peter Kahn avatar
lá cờ cn
Peter Kahn
Cám ơn vì cái này. Điều này thực sự hữu ích.
0
Hồi đáp
Điểm:4
user9517 avatar Server
lá cờ cn
user9517

Vì vậy, làm thế nào tôi biết rằng đây thực sự là 1.1.1n?

nó sẽ không phải là 1.1.1n, như John Mahowald nói, Ubuntu sẽ nhập bản sửa lỗi vào phiên bản được hỗ trợ của họ cho 18.04 mà từ bảng được liên kết là 1.1.1-1ubuntu2.1~18.04.15.

Bạn có thể tìm hiểu những gói openssl nào được cài đặt trên hệ thống của mình bằng cách sử dụng

danh sách apt --đã cài đặt | grep openssl

Bạn có thể kiểm tra nhật ký thay đổi để xem những cập nhật nào đã được áp dụng/backported

apt-get changelog openssl

hoặc thậm chí nhìn vào Ubuntu máy chủ thay đổi.

Nhật ký thay đổi xác nhận rằng openssl 1.1.1-1ubuntu2.1~18.04.15 có các bản vá được áp dụng cho CVE-2022-0778.

0 + 0
Benjamin Hastings avatar
lá cờ ne
Benjamin Hastings
Đối với Ubuntu 20.04.4 LTS, tôi cho rằng bản vá nằm trong openssl 1.1.1f theo nhật ký thay đổi: * openssl (1.1.1f-1ubuntu2.12) tiêu điểm bảo mật; khẩn cấp = trung bình * CẬP NHẬT BẢO MẬT: Vòng lặp vô hạn trong BN_mod_sqrt() - debian/patches/CVE-2022-0778-1.patch: sửa vòng lặp vô hạn trong tiền điện tử/bn/bn_sqrt.c. - debian/patches/CVE-2022-0778-2.patch: thêm tài liệu về BN_mod_sqrt() trong doc/man3/BN_add.pod.
0
Hồi đáp
John Mahowald avatar
lá cờ cn
John Mahowald
Không cần phải giả định, tư vấn bảo mật cho biết tiêu điểm là 1.1.1f-1ubuntu2.12. Một lần nữa, chuỗi phát hành ở cuối rất quan trọng để cho biết bản dựng nào có bản sửa lỗi được nhập ngược - ngược dòng 1.1.1f là ngày 31 tháng 3 năm 2020 và không có bản sửa lỗi này. Nhật ký thay đổi gói rất tốt để xác nhận, nhưng tài liệu tham khảo chính phải là lời khuyên.
0
Hồi đáp
Điểm:0
user2829154 avatar Server
lá cờ us
user2829154

Loại

phiên bản opensl

Tại dấu nhắc lệnh

Của tôi cho

OpenSSL 1.1.1m Ngày 14 tháng 12 năm 2021

0 + 0
John Mahowald avatar
lá cờ cn
John Mahowald
Rất tiếc, phiên bản OpenSSL là không đủ, vì tồn tại các cổng sau. Đây là lỗi tương tự mà các lần quét lỗ hổng không tinh vi mắc phải. Đọc lời khuyên.
1
Hồi đáp
user2829154 avatar
lá cờ us
user2829154
Tôi đoán rằng một cổng sau cũng sẽ hiển thị một chuỗi phiên bản khác nếu đó là một phiên bản khác: Nó đang gọi trực tiếp openssl.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.