我想以此 CVE 为例:
https://ubuntu.com/security/CVE-2018-12020
如果gnupg2
它说它是为 jammy 发布的。
首先,发布到底意味着什么?
我找到了这个描述,但基于此,我不确定我应该看到什么
当我在 ubuntu 软件包页面上检查它时,它有一个旧版本: https:
//packages.ubuntu.com/jammy-updates/gnupg2 https://packages.ubuntu.com/jammy-updates/gnupg2
https:// /packages.ubuntu.com/jammy/gnupg2
另外,如果我使用此命令,那么它会显示相同的内容:(apt-cache policy gnupg2
在此之前我做了更新)
我不确定应该如何解释这一点,而且到目前为止我还没有找到正确的文档,这就是我转向社区的原因。
那么上述 CVE 中的 jammy 版本是否可用?如果是的话怎么办?
我不太完全理解您的担忧(或问题),但这是我的看法:
该包
gnupg2
是一个“过渡包”,只需安装该包gnupg
(可能在gnupg2
成为默认包之后gnupg1
)。CVE 明确指出“2.2.8 之前的 GnuPG 在解密过程中错误处理了原始文件名......”
由于
gnupg
Jammy 的版本是2.2.27-3ubuntu2.1
,因此很明显该软件包不受影响。查看和下的CVE可以进一步验证这一点,其中仅显示“不存在”。gnupg
jammy
不过,我必须承认,我也不完全理解为什么 Canonical 会指
2.2.8-1
从gnupg2
Ubuntu 18.10 到 23.10 的版本。我的猜测是,
gnupg2
其中的软件包在某些时候受到了影响,但在 Ubuntu 18.04 和 20.04 之间从版本 1 切换到版本 2Universe
后,情况不再是这样。gnupg
我想我的主要观点是,您不必太担心这个特定的 CVE。