Рейтинг:4

Server

Как я могу узнать, что последний OpenSSL Ubuntu 18.04 Bionic действительно 1.1.1n?

Peter Kahn

21.07.2023, 21:08

Согласно Убунту CVE-2022-0778 это выпускать следует обратиться к CVE. Однако, когда я смотрю на версию OpenSSL, я не могу сказать, что это 1.1.1n. Я вижу, что он был построен 9 марта до:

OpenSSL делает исходный код общедоступным
Менеджеры дистрибутивов Ubuntu импортируют OpenSSL 1.1.1n в свой репозиторий (который может быть просто общедоступным репозиторием)

Итак, откуда мне знать, что это действительно 1.1.1n?

Система Ubuntu 18.04 после обновления

OpenSSL 1.1.1 11 сентября 2018 г.
построено: ср, 9 марта, 12:13:40 2022 UTC
платформа: debian-amd64
варианты: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
компилятор: gcc -fPIC -pthread -m64 -Wa, --noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-vxXVMf/openssl-1.1.1=. 
-fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_USE_NODELETE 
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM 
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM 
-DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM 
-DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM 
-DNDEBUG -Wдата-время -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Источник заполнения: зависит от ОС

Сопровождающий дистрибутива

Репозиторий Убунту: https://git.launchpad.net/ubuntu/+source/openssl

Теги:

* 3b83ed56dea2b735e31731fd042b52ff869f9a97 - 
(тег: импорт/1.1.1n-1, происхождение/debian/sid) 1.1.1n-1 
(исправления не применялись) (c: ср, 16 марта 2022 г., 04:33:58 +0000) 
(a: вторник, 15 марта 2022 г., 19:46:18 +0100) <Себастьян Анджей Севир>%

применяется/1.1.1n-1
* d4d5eeef3576b16013c48abc435c5da889cedf1b - (тег: применено/1.1.1n-1, 
origin/applied/debian/sid) 1.1.1n-1 (исправлены исправления) 
(с: Ср, 16 марта 2022 г., 04:33:58 +0000) 
(a: вторник, 15 марта 2022 г., 19:46:18 +0100) <Себастьян Анджей Си

1511

0 + 0

убунту

memcached

Рейтинг:6

Server

John Mahowald

21.07.2023, 23:38

Как только обновление для системы безопасности становится выпущенным, достаточно просто применить обновления. подходящее обновление && подходящее обновление

Рассмотрите возможность реализации какого-либо отчета об управлении исправлениями, чтобы убедиться, что все хосты обновлены и соответствуют требованиям. Они варьируются от простых сценариев до продуктов, которые вы можете купить.

Итак, откуда мне знать, что это действительно 1.1.1n?

Исправление Ubuntu для CVE-2022-0778 не 1.1.1n. Как и другие стабильные дистрибутивы, они имеют привычку портировать только конкретное исправление для выбранной версии. Прочтите таблицу еще раз и обратите внимание, что бионический openssl 1.1.1-1ubuntu2.1~18.04.15 Забавно выглядящая строка версии, добавленная в конце, важна, она указывает, какая сборка.

сборка 9 марта до того, как openssl сделает исходный код общедоступным

Для создания и тестирования программного обеспечения требуется время. Ubuntu, как и другие дистрибутивы, находится в списке, чтобы получить уведомление до общего объявления. Сокращает время, в течение которого пользователи сталкиваются с недостатками.

Дата сборки является хорошей проверкой того, что у вас есть необходимый уровень исправления, но вы понимаете, что ее можно собрать до объявления основной ветки без необходимости использования машины времени.

Менеджеры дистрибутивов Ubuntu импортируют openssl 1.1.1n в свой репозиторий (который может быть просто общедоступным репозиторием)

Остерегайтесь делать выводы о том, что в контроле версий фактически входит в исправление для вашей версии.Судя по названиям веток, это, вероятно, связано с Ubuntu по сравнению с Debian sid или вышестоящими выпусками. Не бионический.

Обратитесь к совету по безопасности.

0 + 0

Peter Kahn

22.07.2023, 17:25

Спасибо за это. Это действительно помогает.

Ответить

Рейтинг:4

Server

user9517

22.07.2023, 07:47

Итак, откуда мне знать, что это действительно 1.1.1n?

это не будет 1.1.1n, поскольку, как говорит Джон Маховальд, Ubuntu перенесет исправление в свою поддерживаемую версию для 18.04, которая из связанной таблицы — 1.1.1-1ubuntu2.1~18.04.15.

Вы можете узнать, какие пакеты openssl установлены в вашей системе, используя

список подходящих --установлен | grep openssl

Вы можете просмотреть журнал изменений, чтобы узнать, какие обновления были применены/перенесены.

apt-получить список изменений openssl

или даже посмотреть на Ubuntu сервер журнала изменений.

Журнал изменений подтверждает, что в openssl 1.1.1-1ubuntu2.1~18.04.15 применены исправления для CVE-2022-0778.

0 + 0

Benjamin Hastings

22.07.2023, 16:43

Для Ubuntu 20.04.4 LTS я предполагаю, что патч находится в openssl 1.1.1f согласно журналу изменений: * openssl (1.1.1f-1ubuntu2.12) focus-security; срочность = средняя * ОБНОВЛЕНИЕ БЕЗОПАСНОСТИ: бесконечный цикл в BN_mod_sqrt(). - debian/patches/CVE-2022-0778-1.patch: исправлен бесконечный цикл в крипто/bn/bn_sqrt.c. - debian/patches/CVE-2022-0778-2.patch: добавить документацию BN_mod_sqrt() в doc/man3/BN_add.pod.

Ответить

John Mahowald

22.07.2023, 19:02

Не нужно предполагать, что в совете по безопасности говорится, что фокусным является 1.1.1f-1ubuntu2.12. Опять же, строка выпуска в конце важна, чтобы указать, какая сборка имеет исправление, перенесенное обратно — вышестоящая версия 1.1.1f выпущена 31 марта 2020 г. и не имеет этого. Журнал изменений пакета хорошо бы подтвердить, но основной ссылкой должен быть рекомендательный.

Ответить

Рейтинг:0

Server

user2829154

22.07.2023, 20:24

Тип

версия openssl

В командной строке

Мой дает

OpenSSL 1.1.1m 14 декабря 2021 г.

0 + 0

John Mahowald

23.07.2023, 16:40

Версии OpenSSL, к сожалению, недостаточно, потому что существуют бэкпорты. Это та же ошибка, что и при простом сканировании уязвимостей. Прочитайте рекомендацию.

Ответить

user2829154

23.07.2023, 19:28

Я предполагаю, что бэкпорт также покажет другую строку версии, если это другая версия: он напрямую вызывает openssl.

Ответить

Admin

Этот вопрос на других языках:

EN: How can I know that Ubuntu 18.04 Bionic's latest OpenSSL is really 1.1.1n?

TH: ฉันจะรู้ได้อย่างไรว่า OpenSSL ล่าสุดของ Ubuntu 18.04 Bionic เป็น 1.1.1n จริงๆ

RO: De unde știu că cel mai recent OpenSSL al Ubuntu 18.04 Bionic este cu adevărat 1.1.1n?

RU: Как я могу узнать, что последний OpenSSL Ubuntu 18.04 Bionic действительно 1.1.1n?

VI: Làm cách nào để biết OpenSSL mới nhất của Ubuntu 18.04 Bionic thực sự là 1.1.1n?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.