Vi em um blog que o Ubuntu lançou uma correção para a vulnerabilidade RegreSSHion. Mas estou confuso sobre como obter esses patches corrigidos no meu sistema.
Atualmente, instalei o Ubuntu 22.04 no meu Surface, mas não consigo consertar mesmo depois de executar apt updatevárias reinicializações.
Por favor, sugira: há algum outro processo que preciso seguir?
O blog ao qual me referi: https://ubuntu.com/blog/ubuntu-regresshion-security-fix
O patch lançado: https://launchpad.net/ubuntu/+source/openssh/1:8.9p1-3ubuntu0.10
Normalmente, correções como essa são distribuídas nas atualizações de pacotes de rotina. Portanto, se você mantiver seus pacotes atualizados (o que é uma boa ideia na maioria dos casos), você deverá ter a correção.
Se você quiser verificar quais versões de pacotes você precisa exatamente, você pode pesquisar. O artigo do blog que você mencionou tem links no primeiro parágrafo para a entrada correspondente em Ubuntu Security . Lá você pode verificar em "Status" quais versões de quais pacotes de código-fonte você precisa. Para Ubuntu 22.04 LTS Jammy Jellyfish, procure por "Jammy":
Pacote
openssh, jammy, lançado (1:8.9p1-3ubuntu0.10)Pacote
openssh-ssh1, jammy, não vulnerável (introduzido na v8.5p1)Então, para isso, você só precisa se preocupar com quaisquer pacotes binários compilados a partir do pacote fonte
openssh(se você instalou algo relacionado ao OpenSSH 1.x em primeiro lugar).Para descobrir quais são os pacotes binários, o pacote Ubuntu Security vincula convenientemente uma pesquisa à lista de pacotes do Ubuntu , sob a palavra-chave "Ubuntu". Para o pacote fonte
openssh, seria esta pesquisa .Lá novamente você pode procurar sua versão de distribuição, sendo Jammy. Isso mostra que a partir do pacote fonte
openssh, os seguintes pacotes binários são construídos:Cada um deles é um link para o respectivo pacote na lista de pacotes. Então você pode procurar lá em cima qual é a versão mais recente. Normalmente, a nomenclatura seguirá o pacote fonte, então você estará procurando por
openssh-client 1:8.9p1-3ubuntu0.10,openssh-server 1:8.9p1-3ubuntu0.10e assim por diante. Você pode verificar comapt policyqual pacote em qual versão você está instalado atualmente, por exemploapt policy openssh-client,apt policy openssh-serveretc.Caso algum desses pacotes ainda esteja em versões desatualizadas, você pode atualizá-los com
apt upgrade. Mas, como mencionei acima, se você fizer atualizações de pacotes de rotina, elas já deverão ter sido tratadas. Claro, você só precisa atualizar os pacotes que está realmente usando, então se, por exemplo, você não os instalouopenssh-tests, não precisa atualizá-los para nenhuma versão mais recente.Como observação lateral, por precaução: se você instalou algo relacionado ao OpenSSH fora do sistema de pacotes Ubuntu, por exemplo, compilando-o você mesmo, você mesmo é responsável por isso. O sistema de pacotes Ubuntu não pode ajudá-lo nesses casos.
Conforme mencionado nos comentários,
sudo apt updateapenas atualiza sua lista de pacotes e não realiza nenhuma atualização.Para atualizar o software em seu sistema, execute o seguinte comando somente depois de executar
sudo apt update:ou
se você não estiver executando em produção. Isso deve atualizar todos os pacotes existentes onde uma atualização estiver disponível.
De acordo com a postagem do blog que você mencionou, você deveria ter executado o seguinte como um único comando:
De acordo com a página de avisos de segurança do Ubuntu , uma versão corrigida para Ubuntu Jammy (22.04) foi lançada como versão 1:8.9p1-3ubuntu0.10
Correr:
para visualizar a versão atualmente instalada em seu sistema.
Além disso, o pacote openssh-ssh1 parece não ser vulnerável de acordo com o aviso de segurança:
Além disso, uma mitigação está listada junto com o aviso de segurança. Se ainda estiver preocupado com isso, você pode aplicar a mitigação:
Por exemplo, se você
/etc/ssh/sshd_configtiver o seguinte listado:Você editaria a linha em seu
/etc/ssh/sshd_configarquivo para dizer o seguinte:e então reinicie ou reinicie o sshd.