Рейтинг:8

Ubuntu

Как обновить glibc на Ubuntu 20.04 из-за уязвимости системы безопасности

lcfc

20.04.2023, 18:22

Я пытаюсь обновить glibc 2.31-0ubuntu9.2. Поскольку внутреннее сканирование выявило это как уязвимое.

https://nvd.nist.gov/vuln/detail/CVE-2021-33574#range-6777140

Когда я использую sudo apt-get update, а затем sudo apt install glibc, я ничего не получаю.

Любые идеи?

Заранее спасибо.

759

0 + 0

безопасность

20.04

Hannu

20.04.2023, 20:18

Как правило, это «довольно плохая идея» самостоятельно обновлять дистрибутивы, созданные сообществом (или их часть). Вы должны знать довольно много внутренних вариантов выбора в реальном дистрибутиве, и я считаю: сопоставьте параметры времени компиляции с ними. Попытка заменить пакет, скомпилировав случайный исходный код, пусть даже «последнюю» и «более старую версию уже включенную», требует большого количества знаний.

Ответить

lcfc

20.04.2023, 20:22

Проблема в том, что мы совместимы с PCI, и одним из требований является выполнение внутреннего сканирования.Эти внутренние сканирования выявляют подобные уязвимости, поэтому нам необходимо их обновить. Или мы удаляем их, но я беспокоюсь о том, чтобы удалить слишком много, потому что вы не знаете, что еще нужно для запуска.

Ответить

Hannu

20.04.2023, 20:26

Что ж, тогда я понимаю, почему вам нужно попробовать; у вас, вероятно, есть какая-то сертификация, чтобы не отставать.

Ответить

user535733

20.04.2023, 20:47

См. объяснение уязвимости на странице https://ubuntu.com/security/CVE-2021-33574. У него низкий приоритет (поэтому патч может быть или не быть перенесен обратно). Наихудший сценарий, по-видимому, заключается в том, что злоумышленник может вызвать сбой (не раскрытие информации, не повышение привилегий, не выполнение произвольного кода). Маловероятно, что он будет использован, так как он сложный — он требует, чтобы другие атаки уже были успешными.

Ответить

user535733

20.04.2023, 20:52

Поскольку он появляется при сканировании PCI, я был бы удивлен, если бы CVE был проигнорирован; вполне возможно, что тот же CVE появится при сканировании клиента Ubuntu Advantage. Если это так, инженер Canonical в конечном итоге установит исправление. После соответствующего тестирования обновленный пакет будет отправлен командой безопасности Ubuntu. Однако, если вы хотите подождать, пока кто-то другой сделает эту работу за вас (или заплатит за нее), будьте готовы проявить терпение.

Ответить

lcfc

20.04.2023, 21:50

Это Wazuh поднимает его. Я думаю, их система работает так: она использует базу данных CVE, и именно поэтому она выявляет такого рода уязвимости.

Ответить

Рейтинг:12

Ubuntu

N0rbert

20.04.2023, 18:31

Согласно с https://ubuntu.com/security/CVE-2021-33574 , https://launchpad.net/bugs/cve/CVE-2021-33574 и https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1927192 вам нужно дождаться, когда «Fix Committed» станет «Fix Releaseed» для Ubuntu 20.04 LTS (Focal Fossa).

0 + 0

lcfc

20.04.2023, 20:16

Спасибо за это. Очень полезно. Как вы узнали, какой именно бит в https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1927192. Причина, по которой я спрашиваю, заключается в том, что я хотел бы сравнить это с другими уязвимостями, которые я нашел, и посмотреть, работают ли они над исправлением этого и т. д.

Ответить

terdon

21.04.2023, 15:59

@lcfc Если один из ответов здесь решил вашу проблему, найдите время и [примите это](//askubuntu.com/help/someone-answers), нажав на галочку слева. Это лучший способ выразить благодарность на сайтах Stack Exchange.

Ответить

Admin

Этот вопрос на других языках:

EN: How to update glibc on ubuntu 20.04 due to security vulnerability

TH: วิธีอัปเดต glibc บน Ubuntu 20.04 เนื่องจากช่องโหว่ด้านความปลอดภัย

RO: Cum se actualizează glibc pe ubuntu 20.04 din cauza vulnerabilității de securitate

RU: Как обновить glibc на Ubuntu 20.04 из-за уязвимости системы безопасности

VI: Cách cập nhật glibc trên Ubuntu 20.04 do lỗ hổng bảo mật

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.