Início / ubuntu / Perguntas / 1438582
Accepted
Lexible
Asked: 2022-11-02 09:27:31 +0800 CST

Como instalar o openssl 3.0.7 no Ubuntu 22.04? [duplicado]

  • 772

Há uma falha de segurança de maior gravidade na opensslv3.0.x onde x<7. A versão corrigida (3.0.7) foi lançada oficialmente em 1º de novembro de 2022.

Como instalar/atualizar o openssl 3.0.7 em um sistema Ubuntu 22.04?

Atualização: a vulnerabilidade foi rebaixada de Crítica para Alta .

openssl

1 respostas

  1. Best Answer

    Primeiro , você precisa saber que existem DUAS maneiras de corrigir uma vulnerabilidade: Atualizando e aplicando patches.

    • Os upstreams enfatizam o " upgrade " em seus anúncios públicos simplesmente porque a maioria das pessoas não sabe como corrigir. Mas ambos os métodos são práticas aceitas há muito tempo.
    • O Ubuntu (e muitas outras distribuições) preferem corrigir porque a atualização pode introduzir novos bugs e regressões. Os upstreams geralmente disponibilizam patches especificamente para essa finalidade.

    Isso significa que um pacote openssl totalmente seguro no Ubuntu NÃO será a versão 3.0.7. É por isso que precisamos conhecer o(s) CVE(s) específico(s) para as vulnerabilidades.

    Em segundo lugar , vamos encontrar esses CVE(s). Um pouco de search-engine-fu revela que a versão OpenSSL 3.0.7 tem como alvo dois CVEs :

    • CVE-2022-3602
    • CVE-2022-3786

    Terceiro , vamos ver o CVE-2022-3602 no Ubuntu CVE Tracker :

    Ubuntu CVE Tracker para CVE 2022-3786

    Isso nos diz algumas coisas importantes:

    1. A equipe de segurança do Ubuntu já está rastreando o problema.
    2. O único pacote afetado é o openssl.
    3. Um pacote corrigido foi lançado.

    Quarto , vamos nos aprofundar um pouco mais observando os detalhes do pacote do rastreador :

    insira a descrição da imagem aqui

    Agora sabemos os números de versão exatos dos opensslpacotes que são corrigidos e seguros.

    • Lembrete: Está corrigido , então o número da versão NÃO é 3.0.7. Mas ainda é seguro; que o CVE foi mitigado.

    Finalmente , vamos ver se nosso sistema 22.04 tem essa versão de pacote segura

    $ apt list openssl
Listing... Done
openssl/jammy-updates,jammy-security,now 3.0.2-0ubuntu1.6 amd64 [installed,automatic]

    Não é a versão segura (lembre-se que a versão segura é 3.0.2-0ubuntu1.7). Mas foi lançado hoje, tão simples sudo apt updatee sudo apt upgrademostra uma atualização openssl, então:

    $ apt list openssl
Listing... Done
openssl/jammy-security,now 3.0.2-0ubuntu1.7 amd64 [installed,automatic]

    SEGURO! Este sistema agora está executando um pacote que foi corrigido pela equipe de segurança do Ubuntu para mitigar o CVE-2022-3602.

    Verificar se o CVE-2022-3786 também está mitigado fica como exercício para o aluno.

    Uma nota final : Se muitas dessas informações eram novas para você (correções, CVEs, rastreadores, números de versão confusos), então uma maneira fácil de furar o véu e entender o que está acontecendo são alguns episódios do Ubuntu Security Podcast , um breve discussão semanal de tópicos relacionados à segurança da Equipe de Segurança do Ubuntu. Eles querem que você entenda!

    • 57

relate perguntas