Início / ubuntu / Perguntas / 1298874
Accepted
frogola
Asked: 2020-12-10 13:39:35 +0800 CST

bug de segurança openSSL 1.1.1 CVE-2020-1971 [duplicado]

  • 772

Acabei de ler uma descrição do CVE-2020-1971, que indica que um patch foi lançado hoje para o openSSL, a versão corrigida é 1.1.1i - minha versão do Ubuntu 20.04.1 LTS está executando o openSSL versão 1.1.1f. Desde março passado.

O Software Updater diz que meu sistema está atualizado. Espero que esta atualização do openSSL seja lançada pela Canonical até amanhã... alguém pode confirmar que está trabalhando nisso?

updates openssl

1 respostas

  1. Best Answer

    Quando surge uma pergunta CVE, sua primeira parada deve ser o rastreador CVE do Ubuntu em https://ubuntu.com/security .

    1. Aqui está o que o rastreador do Ubuntu CVE disse sobre este CVE e este pacote quando verifiquei:

      insira a descrição da imagem aqui

    2. Vamos verificar se openssl 1.1.1f-1ubuntu2.1está disponível para o apt baixar e instalar:

      $ apt-cache madison openssl   // 20.04 system, matching the question
openssl | 1.1.1f-1ubuntu2          | focal 
openssl | 1.1.1f-1ubuntu2.1        | focal-security  <----- There it is
openssl | 1.1.1f-1ubuntu2.1        | focal-updates   <----- And there, too

    3. Para os curiosos, vamos dar uma olhada na página do Launchpad desse pacote para determinar a data de upload da versão 20.04 corrigida (08 de dezembro de 2020 / 08.12.2020):

      insira a descrição da imagem aqui

    4. Verifique a versão do pacote instalado usando apt list openssl.

      $ apt list openssl
Listing... Done
openssl/focal-updates,focal-security, now 1.1.1f-1ubuntu2.1 amd64 [installed]
      • Para a maioria dos usuários, Unattended Upgrades já baixou e instalou muitas atualizações de segurança como esta de forma automática e silenciosa. A implementação rápida de patches de segurança sem incomodá-lo é exatamente para o que se destina.

    Background: Existem duas maneiras de lidar com atualizações de segurança.

    1. Atualize para uma versão mais recente que incorpore a alteração. Como a maioria dos usuários não tem ideia de como aplicar um patch, essa é uma recomendação comum. Para usuários não qualificados, este é um método fácil e razoavelmente seguro. Isso irá atualizá-lo para 1.1.1i

    2. Aplique o patch à versão atual. Como os engenheiros da equipe de segurança do Ubuntu sabem como aplicar e testar patches, é assim que as atualizações de segurança do Ubuntu funcionam. O Ubuntu fornece uma versão corrigida , não uma nova versão. Isso irá atualizá-lo de 1.1.1f-1ubuntu2 para 1.1.1f-1ubuntu2.1. Sim, seu sinalizador -v dirá 1.1.1f, e isso está correto. Mas você ainda está remendado; o vuln não pode mais afetá-lo.

    • 13

relate perguntas