Tôi đang sử dụng Ubuntu 20.04.3 LTS (tiêu điểm)
với XFCE DE
, trên một AMD64-bit
máy móc. khi tôi đã làm đúng cách
nâng cấp ngày hôm nay, các gói: libcaca0
được nâng cấp như sau:
Giải nén **libcaca0:AMD64 (0.99.beta19-2.1ubuntu1.20.04.2)** trên **(0.99.beta19-2.1ubuntu1.20.04.1)**
Tôi chỉ tò mò tìm hiểu xem gói này làm gì và bắt gặp trang này: https://ubuntu.com/security/notices/USN-5119-1
Nó nói rằng có một lỗ hổng bảo mật đã biết trong gói này và cần được nâng cấp lên: libcaca0 - 0.99.beta19-2.2ubuntu2.1
, để giảm thiểu nó. Tuy nhiên, như bạn có thể thấy, đúng cách
chỉ nâng cấp lên phiên bản 19-2.1
.
Tôi đã cố gắng chỉ nâng cấp gói cụ thể, sử dụng
sudo apt-get --chỉ nâng cấp cài đặt libcaca0
nhưng, nó nói libcaca0 đã là phiên bản mới nhất (0.99.beta19-2.1ubuntu1.20.04.2).
.
Trang này nói rằng không có bản sửa lỗi nào cho đến ngày 13-10-2021:
https://ubuntu.com/security/CVE-2021-30499
Tuy nhiên, theo trang này, phiên bản: 19.2.2
đã được phát hành vào ngày 2021-03-20.
https://launchpad.net/debian/+source/libcaca/0.99.beta19-2.2
Và, bản tải xuống dường như có sẵn tại:
https://launchpad.net/ubuntu/+source/libcaca/0.99.beta19-2.2ubuntu1.1
(Tôi nhận thấy rằng trang xác nhận phát hành thuộc về Debian, trong khi trang tải xuống trỏ đến Ubuntu. Tôi tin rằng, cả trang phát hành và trang tải xuống sẽ có sẵn cho cả hai distro. Vì vậy, câu hỏi không phải là về điều đó.)
Câu hỏi của tôi
Nếu phiên bản gói có sẵn để tải xuống (dành cho Ubuntu)? Tại sao đúng cách
không thể nâng cấp lên nó? Có phải vì một số phê duyệt đang chờ xử lý? Nếu vậy, tại sao lại có bản tải xuống?
Ý định của tôi không phải là phàn nàn, mà là xem xét kỹ lưỡng/hiểu quy trình chung/lý do & phải làm gì trong tình huống này/những tình huống này - như:
- nên tải xuống tar có sẵn và cài đặt hay đợi
đúng cách
phiên bản có sẵn,
- người dùng không nên được thông báo về những vấn đề như vậy (đặc biệt là về lỗ hổng bảo mật) hoặc hoàn toàn không thể,
- nếu gói có lỗ hổng, tại sao ngay cả nâng cấp apt cũng đề xuất nó (và không thể xóa gói đó cho đến khi có bản sửa lỗi - tất nhiên, với điều kiện có sẵn gói thay thế để đáp ứng các phụ thuộc khác)
- vân vân.
Và, nếu có thể, một số lưu ý của chuyên gia về các đặc điểm kỹ thuật của lỗ hổng, cách thức/tại sao nó lại gây ra, v.v. [Tôi biết.. Tôi nên tự mình tra cứu.. nhưng, vẫn vậy! :) ]. Mặc dù hiện tại tôi đang sử dụng nó khá lâu, nhưng tôi còn khá mới đối với Linux và thậm chí chưa phải là người dùng cốt lõi - hãy để một mình người đóng góp.