De acordo com o CVE-2022-0778 do Ubuntu, esta versão deve abordar o CVE. No entanto, quando olho para a versão OpenSSL, não posso dizer que é 1.1.1n. Vejo que foi construído em 9 de março antes de:
- OpenSSL disponibilizando a fonte ao público
- Gerenciadores de distribuição do Ubuntu importando o OpenSSL 1.1.1n em seu repositório (que pode ser apenas um repositório público)
Então, como eu saberia que isso é realmente 1.1.1n?
Sistema Ubuntu 18.04 após atualização
OpenSSL 1.1.1 11 Sep 2018
built on: Wed Mar 9 12:13:40 2022 UTC
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=.
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM
-DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific
Mantenedor de distribuição
Repositório do Ubuntu: https://git.launchpad.net/ubuntu/+source/openssl
Tag:
* 3b83ed56dea2b735e31731fd042b52ff869f9a97 -
(tag: import/1.1.1n-1, origin/debian/sid) 1.1.1n-1
(patches unapplied) (c: Wed, 16 Mar 2022 04:33:58 +0000)
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Siewior>%
applied/1.1.1n-1
* d4d5eeef3576b16013c48abc435c5da889cedf1b - (tag: applied/1.1.1n-1,
origin/applied/debian/sid) 1.1.1n-1 (patches applied)
(c: Wed, 16 Mar 2022 04:33:58 +0000)
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Si
Assim que uma atualização de segurança estiver com o status liberado, o simples a fazer é aplicar as atualizações,
apt update && apt upgradeConsidere implementar algum tipo de relatório de gerenciamento de patches para confirmar que todos os hosts estão atualizados e em conformidade. Eles variam de scripts simples a produtos que você pode comprar.
A correção do Ubuntu para CVE-2022-0778 não é 1.1.1n. Como outras distribuições estáveis, eles têm o hábito de fazer backport apenas da correção específica para a versão escolhida. Leia a tabela novamente e observe que bionic é
openssl 1.1.1-1ubuntu2.1~18.04.15A string de versão engraçada anexada no final é importante, indica qual compilação.Leva tempo para construir e testar software. O Ubuntu, como outras distribuições, está em uma lista para ser notificado antes do anúncio geral. Reduz o tempo que os usuários estão expostos a falhas.
Uma data de compilação é uma boa verificação de sanidade de que você tem o nível de patch necessário, mas perceba que é possível compilar antes do anúncio do upstream sem precisar de uma máquina do tempo.
Cuidado ao tirar conclusões sobre o que no controle de versão realmente entra em uma correção para sua versão. Com base nos nomes das ramificações, isso provavelmente tem a ver com o Ubuntu em comparação com os lançamentos sid ou upstream do Debian. Não biônico.
Consulte o aviso de segurança.
não será 1.1.1n, pois, como John Mahowald diz, o Ubuntu terá retroportado a correção em sua versão suportada para 18.04, que da tabela vinculada é 1.1.1-1ubuntu2.1 ~ 18.04.15.
Você pode descobrir quais pacotes openssl estão instalados em seu sistema usando
Você pode examinar o changelog para ver quais atualizações foram aplicadas/backported
ou até mesmo olhar no servidor de changelog do Ubuntu .
O changelog confirma que o openssl 1.1.1-1ubuntu2.1~18.04.15 tem patches aplicados para CVE-2022-0778.
Modelo
No prompt de comando
O meu dá