Điểm:8

Ubuntu

Cách cập nhật glibc trên Ubuntu 20.04 do lỗ hổng bảo mật

lcfc

18:22, 20/04/2023

Tôi đang cố cập nhật glibc 2.31-0ubuntu9.2. Vì quá trình quét nội bộ đã phát hiện ra điều này là dễ bị tấn công.

https://nvd.nist.gov/vuln/detail/CVE-2021-33574#range-6777140

Khi tôi sử dụng Sudo apt-get update rồi Sudo apt install glibc tôi chẳng đi đến đâu với nó.

Bất kỳ ý tưởng?

Cảm ơn trước.

759

0 + 0

Bảo vệ

20.04

Hannu

20:18, 20/04/2023

Nói chung, đó là "một ý tưởng khá tồi" khi cố gắng tự mình cập nhật các bản phân phối do cộng đồng xây dựng (hoặc một phần của chúng). Bạn phải biết khá nhiều về các lựa chọn nội bộ trong bản phân phối thực tế và tôi tin rằng: khớp các tùy chọn thời gian biên dịch với các tùy chọn đó. Cố gắng thay thế một gói bằng cách biên dịch nguồn ngẫu nhiên, mặc dù "phiên bản mới nhất" và "phiên bản cũ hơn đã được đưa vào" yêu cầu một lượng kiến thức tốt.

Hồi đáp

lcfc

20:22, 20/04/2023

Vấn đề chúng tôi gặp phải là chúng tôi tuân thủ PCI và một trong những yêu cầu là tiến hành quét nội bộ.Những lần quét nội bộ này đang phát hiện những loại lỗ hổng này nên chúng tôi cần cập nhật chúng. Hoặc chúng tôi xóa chúng nhưng tôi lo lắng về việc xóa quá nhiều vì bạn không biết điều gì khác cần điều này để chạy.

Hồi đáp

Hannu

20:26, 20/04/2023

Chà, vậy thì tôi hiểu tại sao bạn cần thử; bạn có thể có một số loại chứng nhận để theo kịp.

Hồi đáp

user535733

20:47, 20/04/2023

Xem giải thích về lỗ hổng tại https://ubuntu.com/security/CVE-2021-33574. Nó có mức độ ưu tiên thấp (do đó, bản vá có thể hoặc có thể không được nhập vào). Trường hợp xấu nhất dường như là kẻ tấn công có thể gây ra sự cố (không phải tiết lộ thông tin, không phải leo thang đặc quyền, không phải thực thi mã tùy ý). Nó không có khả năng được sử dụng, vì nó phức tạp -- nó yêu cầu các cuộc tấn công khác đã thành công.

Hồi đáp

user535733

20:52, 20/04/2023

Vì nó hiện lên khi quét PCI của bạn, tôi sẽ ngạc nhiên nếu CVE bị bỏ qua; có thể cùng một CVE sẽ xuất hiện khi quét của khách hàng Ubuntu Advantage. Nếu vậy, một kỹ sư của Canonical cuối cùng sẽ áp dụng bản vá. Sau khi kiểm tra phù hợp, gói cập nhật sẽ được Nhóm bảo mật Ubuntu đẩy lên. Tuy nhiên, nếu bạn muốn đợi người khác thực hiện công việc nhập liệu đó cho bạn (hoặc trả tiền cho công việc đó), hãy sẵn sàng kiên nhẫn.

Hồi đáp

lcfc

21:50, 20/04/2023

Chính Wazuh đang nhặt nó lên. Tôi nghĩ cách thức hoạt động của hệ thống của họ là nó sử dụng cơ sở dữ liệu CVE và đây là lý do tại sao họ đang chọn ra những loại lỗ hổng này.

Hồi đáp

Điểm:12

Ubuntu

N0rbert

18:31, 20/04/2023

Dựa theo https://ubuntu.com/security/CVE-2021-33574 , https://launchpad.net/bugs/cve/CVE-2021-33574 và https://bugs.launchpad.net/ubuntu/+source/glibc/+orms/1927192 bạn phải đợi khi "Đã cam kết sửa lỗi" sẽ trở thành "Đã phát hành bản sửa lỗi" cho Ubuntu 20.04 LTS (Focal Fossa).

0 + 0

lcfc

20:16, 20/04/2023

Cảm ơn vì điều đó. Rất hữu ích. Làm cách nào bạn tìm thấy bit chính xác trong https://bugs.launchpad.net/ubuntu/+source/glibc/+orms/1927192. Lý do tôi hỏi là tôi muốn so sánh lỗ hổng này với các lỗ hổng khác mà tôi tìm thấy và xem liệu họ có đang làm việc để vá lỗ hổng này hay không, v.v.

Hồi đáp

terdon

15:59, 21/04/2023

@lcfc Nếu một trong những câu trả lời ở đây giải quyết được vấn đề của bạn, vui lòng dành chút thời gian và [chấp nhận nó](//askubuntu.com/help/someone-answers) bằng cách nhấp vào dấu kiểm bên trái. Đó là cách tốt nhất để bày tỏ lời cảm ơn của bạn trên các trang Stack Exchange.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to update glibc on ubuntu 20.04 due to security vulnerability

TH: วิธีอัปเดต glibc บน Ubuntu 20.04 เนื่องจากช่องโหว่ด้านความปลอดภัย

RO: Cum se actualizează glibc pe ubuntu 20.04 din cauza vulnerabilității de securitate

RU: Как обновить glibc на Ubuntu 20.04 из-за уязвимости системы безопасности

VI: Cách cập nhật glibc trên Ubuntu 20.04 do lỗ hổng bảo mật

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.