Tham gia Đăng nhập
Điểm:0
v-lan avatar Ubuntu

Gói Ubuntu:lỗ hổng bảo mật libcaca (CVE-2021-30498, CVE-2021-30499)

lá cờ us
v-lan

Tôi đang sử dụng Ubuntu 20.04.3 LTS (tiêu điểm) với XFCE DE, trên một AMD64-bit máy móc. khi tôi đã làm đúng cách nâng cấp ngày hôm nay, các gói: libcaca0 được nâng cấp như sau:

Giải nén **libcaca0:AMD64 (0.99.beta19-2.1ubuntu1.20.04.2)** trên **(0.99.beta19-2.1ubuntu1.20.04.1)**

Tôi chỉ tò mò tìm hiểu xem gói này làm gì và bắt gặp trang này: https://ubuntu.com/security/notices/USN-5119-1

Nó nói rằng có một lỗ hổng bảo mật đã biết trong gói này và cần được nâng cấp lên: libcaca0 - 0.99.beta19-2.2ubuntu2.1, để giảm thiểu nó. Tuy nhiên, như bạn có thể thấy, đúng cách chỉ nâng cấp lên phiên bản 19-2.1.

Tôi đã cố gắng chỉ nâng cấp gói cụ thể, sử dụng

sudo apt-get --chỉ nâng cấp cài đặt libcaca0

nhưng, nó nói libcaca0 đã là phiên bản mới nhất (0.99.beta19-2.1ubuntu1.20.04.2)..

Trang này nói rằng không có bản sửa lỗi nào cho đến ngày 13-10-2021: https://ubuntu.com/security/CVE-2021-30499

Tuy nhiên, theo trang này, phiên bản: 19.2.2 đã được phát hành vào ngày 2021-03-20. https://launchpad.net/debian/+source/libcaca/0.99.beta19-2.2

Và, bản tải xuống dường như có sẵn tại: https://launchpad.net/ubuntu/+source/libcaca/0.99.beta19-2.2ubuntu1.1

(Tôi nhận thấy rằng trang xác nhận phát hành thuộc về Debian, trong khi trang tải xuống trỏ đến Ubuntu. Tôi tin rằng, cả trang phát hành và trang tải xuống sẽ có sẵn cho cả hai distro. Vì vậy, câu hỏi không phải là về điều đó.)

Câu hỏi của tôi

Nếu phiên bản gói có sẵn để tải xuống (dành cho Ubuntu)? Tại sao đúng cách không thể nâng cấp lên nó? Có phải vì một số phê duyệt đang chờ xử lý? Nếu vậy, tại sao lại có bản tải xuống?

Ý định của tôi không phải là phàn nàn, mà là xem xét kỹ lưỡng/hiểu quy trình chung/lý do & phải làm gì trong tình huống này/những tình huống này - như:

  • nên tải xuống tar có sẵn và cài đặt hay đợi đúng cách phiên bản có sẵn,
  • người dùng không nên được thông báo về những vấn đề như vậy (đặc biệt là về lỗ hổng bảo mật) hoặc hoàn toàn không thể,
  • nếu gói có lỗ hổng, tại sao ngay cả nâng cấp apt cũng đề xuất nó (và không thể xóa gói đó cho đến khi có bản sửa lỗi - tất nhiên, với điều kiện có sẵn gói thay thế để đáp ứng các phụ thuộc khác)
  • vân vân.

Và, nếu có thể, một số lưu ý của chuyên gia về các đặc điểm kỹ thuật của lỗ hổng, cách thức/tại sao nó lại gây ra, v.v. [Tôi biết.. Tôi nên tự mình tra cứu.. nhưng, vẫn vậy! :) ]. Mặc dù hiện tại tôi đang sử dụng nó khá lâu, nhưng tôi còn khá mới đối với Linux và thậm chí chưa phải là người dùng cốt lõi - hãy để một mình người đóng góp.

120
0 + 0
Điểm:3
Pilot6 avatar Ubuntu
lá cờ cn
Pilot6

Bạn không đọc kỹ link của mình.

https://ubuntu.com/security/notices/USN-5119-1

Ubuntu 20.04

caca-utils - 0.99.beta19-2.1ubuntu1.20.04.2
libcaca0 - 0.99.beta19-2.1ubuntu1.20.04.2

Vì vậy, bạn đã có bản cập nhật chính xác. Bạn đã cài đặt bản sửa lỗi rồi. Không có hành động được yêu cầu.

libcaca0 - 0.99.beta19-2.2ubuntu2.1 dành cho Ubuntu 21.10.

0 + 0
v-lan avatar
lá cờ us
v-lan
Vâng, bạn đúng. Tôi đã bỏ lỡ nó .. nhưng, ý bạn là gì khi 'thối'? Vì vậy, tôi có nên xóa câu hỏi hay cái gì đó không? Nhân tiện, lỗ hổng vẫn áp dụng cho 20.04, phải không? Nếu vậy, các câu hỏi khác của tôi vẫn có liên quan, phải không?
0
Hồi đáp
Pilot6 avatar
lá cờ cn
Pilot6
Đó là một lỗi đánh máy. Ý tôi là "có".
0
Hồi đáp
Pilot6 avatar
lá cờ cn
Pilot6
Lỗ hổng đã được sửa cho ngày 20.02 và bạn đã sửa nó. Vì vậy, vấn đề là gì?
0
Hồi đáp
Pilot6 avatar
lá cờ cn
Pilot6
"Tại sao tải xuống có sẵn" không phải là một vấn đề. Bạn có cần giải thích gì thêm không?
0
Hồi đáp
v-lan avatar
lá cờ us
v-lan
Không.. trừ khi, bạn có một số thông tin chi tiết hơn về lỗ hổng này. Ngoài ra, tôi vẫn có câu hỏi, với tư cách là người dùng, tôi vẫn đang sử dụng gói cho đến thời điểm này và tôi không biết rằng có một lỗ hổng như vậy (liệu tôi có làm gì đó với nó hay không, vẫn là một câu hỏi) . Và, trong khi đọc về điều này, tôi cũng đã tìm thấy một số lỗ hổng khác. Tôi chỉ tự hỏi liệu có cách nào để cập nhật thông tin về những thứ như vậy không.Dù sao, tôi sẽ xóa câu hỏi này, vì nó gây hiểu lầm/thông tin sai. Cảm ơn vì đã dành thời gian cho tôi.
0
Hồi đáp
Pilot6 avatar
lá cờ cn
Pilot6
Đừng xóa câu hỏi. Nó không phải là một trong những xấu. Tôi không có thông tin về vấn đề cụ thể này. Nhưng có rất nhiều nơi bạn có thể theo dõi các lỗ hổng. Nhưng chúng được cố định đủ nhanh. Vì vậy, giữ cho hệ thống của bạn được cập nhật là đủ trong hầu hết các trường hợp.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.