Gostaria de tomar este CVE como exemplo:
https://ubuntu.com/security/CVE-2018-12020
Caso gnupg2
diga que está liberado para Jammy.
Em primeiro lugar, o que é liberado significa exatamente?
Eu encontrei esta descrição , mas com base nisso não tenho certeza do que devo ver.
Quando verifico na página de pacotes do Ubuntu, ela tem uma versão mais antiga:
https://packages.ubuntu.com/jammy-updates/gnupg2
https:/ /packages.ubuntu.com/jammy/gnupg2
Além disso, se eu usar este comando, ele mostrará o mesmo: apt-cache policy gnupg2
(antes disso eu fiz uma atualização)
Não tenho certeza de como devo interpretar isso, e até agora não encontrei a documentação correta para isso e é por isso que estou recorrendo à comunidade.
Então a versão está disponível no CVE mencionado para Jammy? Se for sim, então como?
Eu realmente não entendo sua preocupação (ou pergunta) em todos os detalhes, mas aqui está minha opinião:
O pacote
gnupg2
é um "pacote de transição" que simplesmente instala o pacotegnupg
(provavelmente depois degnupg2
se tornar o padrãognupg1
).O CVE afirma claramente que "o GnuPG anterior a 2.2.8 manipula incorretamente o nome do arquivo original durante a descriptografia ..."
Como a
gnupg
versão do Jammy é2.2.27-3ubuntu2.1
, é evidente que este pacote não foi afetado. Isto pode ser verificado ainda mais ao observar o CVE emgnupg
ejammy
, onde simplesmente diz "Não existe".No entanto, devo admitir que também não entendo completamente por que a Canonical se refere à versão
2.2.8-1
desdegnupg2
Ubuntu 18.10 a 23.10.Meu palpite é que o
gnupg2
pacoteUniverse
foi afetado em algum momento, mas isso não é mais o caso depoisgnupg
de mudar da versão 1 para a versão 2 entre o Ubuntu 18.04 e 20.04.Acho que meu ponto principal é que você não precisa se preocupar muito com esse CVE em particular.