主页 / server / 问题 / 1096683
Accepted
Peter Kahn
Asked: 2022-03-22 13:08:16 +0800 CST

我怎么知道 Ubuntu 18.04 Bionic 最新的 OpenSSL 真的是 1.1.1n?

  • 772

根据 Ubuntu 的CVE-2022-0778,此版本应解决 CVE。但是,当我查看 OpenSSL 版本时,我无法确定它是 1.1.1n。我确实看到它是在 3 月 9 日之前构建的:

  • OpenSSL 向公众提供源代码
  • Ubuntu 发行版管理器将 OpenSSL 1.1.1n 导入他们的仓库(可能只是一个面向公众的仓库)

那么,我怎么知道这真的是 1.1.1n 呢?

升级后的Ubuntu 18.04系统

OpenSSL 1.1.1  11 Sep 2018
built on: Wed Mar  9 12:13:40 2022 UTC
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=. 
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE 
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM 
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM 
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM 
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM 
-DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific

发行版维护者

Ubuntu 仓库:https ://git.launchpad.net/ubuntu/+source/openssl

标签:

* 3b83ed56dea2b735e31731fd042b52ff869f9a97 - 
(tag: import/1.1.1n-1, origin/debian/sid) 1.1.1n-1 
(patches unapplied) (c: Wed, 16 Mar 2022 04:33:58 +0000) 
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Siewior>%

applied/1.1.1n-1
*   d4d5eeef3576b16013c48abc435c5da889cedf1b - (tag: applied/1.1.1n-1, 
origin/applied/debian/sid) 1.1.1n-1 (patches applied) 
(c: Wed, 16 Mar 2022 04:33:58 +0000) 
(a: Tue, 15 Mar 2022 19:46:18 +0100) <Sebastian Andrzej Si
ubuntu openssl

3 个回答

  1. Best Answer

    一旦安全更新处于已发布状态,简单的操作就是应用更新, apt update && apt upgrade

    考虑实施某种补丁管理报告,以确认所有主机都已更新并符合要求。这些范围从简单的脚本到您可能购买的产品。

    那么,我怎么知道这真的是 1.1.1n 呢?

    Ubuntu 对 CVE-2022-0778 的修复不是 1.1.1n。与其他稳定发行版一样,他们习惯于仅将特定修复程序向后移植到他们选择的版本。再读一遍表格,注意 bionic 是openssl 1.1.1-1ubuntu2.1~18.04.15 末尾附加的看起来很有趣的版本字符串很重要,它指示了哪个构建。

    在 openssl 之前构建于 3 月 9 日,向公众提供源代码

    构建和测试软件需要时间。与其他发行版一样,Ubuntu 也在一份名单上,以便在一般公告之前得到通知。减少用户暴露于缺陷的时间。

    构建日期可以很好地检查您是否具有所需的补丁级别,但要意识到可以在上游发布之前构建,而无需时间机器。

    Ubuntu 发行版管理器将 openssl 1.1.1n 导入他们的仓库(可能只是一个面向公众的仓库)

    谨防对版本控制中的内容实际用于修复您的版本做出结论。根据分支名称,与 Debian sid 或上游版本相比,这可能与 Ubuntu 有关。不是仿生的。

    请参阅安全公告。

    • 6

  2. 那么,我怎么知道这真的是 1.1.1n 呢?

    它不会是 1.1.1n,因为正如 John Mahowald 所说,Ubuntu 会将修复程序反向移植到其支持的 18.04 版本中,链接表中的版本是 1.1.1-1ubuntu2.1~18.04.15。

    您可以使用以下命令找出系统上安装了哪些 openssl 软件包

    apt list --installed | grep openssl

    您可以检查更改日志以查看已应用/向后移植的更新

    apt-get changelog openssl

    甚至查看 Ubuntu更新日志服务器

    更新日志确认 openssl 1.1.1-1ubuntu2.1~18.04.15 有针对 CVE-2022-0778 的补丁。

    • 4

  3. 类型

    openssl 版本

    在命令提示符下

    我的给

    OpenSSL 1.1.1m 2021 年 12 月 14 日

    • 0

相关问题