я использую Ubuntu 20.04.3 LTS (фокальный) с XFCE DE, на 64-разрядная версия AMD машина. Когда я сделал подходящий обновление сегодня, пакет: libcaca0 был обновлен, как показано ниже:
Распаковка **libcaca0:amd64 (0.99.beta19-2.1ubuntu1.20.04.2)** поверх **(0.99.beta19-2.1ubuntu1.20.04.1)**
Я просто из любопытства погуглил, чтобы посмотреть, что делает этот пакет, и наткнулся на эту страницу: https://ubuntu.com/security/notices/USN-5119-1
В нем говорится, что в этом пакете есть известная уязвимость безопасности, и ее необходимо обновить до: libcaca0 — 0.99.beta19-2.2ubuntu2.1, чтобы смягчить его. Однако, как видите, подходящий обновляется только до версии 19-2.1.
Я пытался обновить только конкретный пакет, используя
sudo apt-get --only-upgrade установить libcaca0
но, говорит libcaca0 уже самая новая версия (0.99.beta19-2.1ubuntu1.20.04.2)..
На этой странице написано, что до 13.10.2021 нет доступных исправлений:
https://ubuntu.com/security/CVE-2021-30499
Однако, согласно этой странице, версия: 19.2.2 был выпущен 20 марта 2021 г.
https://launchpad.net/debian/+source/libcaca/0.99.beta19-2.2
И, похоже, загрузка доступна по адресу:
https://launchpad.net/ubuntu/+source/libcaca/0.99.beta19-2.2ubuntu1.1
(Я заметил, что страница подтверждения выпуска принадлежит Debian, а страница загрузки указывает на Ubuntu. Я полагаю, что и страницы выпуска, и страницы загрузки будет быть доступным для обоих дистрибутивов. Так что вопрос не об этом.)
Мой вопрос
Доступна ли версия пакета для скачивания (для Ubuntu)? Почему подходящий не мог обновить до него? Это из-за ожидания какого-то одобрения? Если да, то почему доступна загрузка?
Мое намерение состоит не в том, чтобы жаловаться, а в том, чтобы тщательно изучить/понять общий процесс/причину и что делать в таких/таких ситуациях, например:
- следует ли загрузить доступный tar и установить или дождаться
подходящий версия должна быть доступна,
- не должны ли пользователи уведомляться о таких проблемах (особенно об уязвимостях безопасности) или это вообще невозможно,
- если в пакете есть уязвимость, почему даже apt upgrade рекомендует ее (и нельзя ли удалить ее до тех пор, пока не будет доступно исправление - конечно, при условии, что доступен альтернативный пакет для удовлетворения других зависимостей)
- и т.д.
И, если возможно, некоторые экспертные заметки о технических особенностях уязвимости, как/почему она вызвана и т.д. :)]. Несмотря на то, что я использую его уже некоторое время, я относительно новичок в Linux и еще даже не являюсь основным пользователем, не говоря уже о соавторе.
