如何在Ubuntu 22.04上安装openssl 3.0.7?
v3.0.x中存在最严重的安全漏洞openssl,其中 x<7。修补版本 (3.0.7) 已于2022 年 11 月 1 日正式发布。
如何在 Ubuntu 22.04 系统上安装/更新 openssl 3.0.7?
更新:该漏洞已从“严重”降级为“高”。
use*_*733 77
首先,您需要知道修复漏洞有两种方法:升级和修补。
- 上游在其公告中强调“升级”只是因为大多数人不知道如何修补。但这两种方法都是长期以来被接受的做法。
- Ubuntu(和许多其他发行版)更喜欢打补丁,因为升级可能会引入新的错误和回归。上游通常会专门为此目的提供补丁。
这意味着 Ubuntu 中完全安全的 openssl 软件包不会是版本 3.0.7。这就是为什么我们需要了解漏洞的具体 CVE。
其次,让我们找到那些 CVE。一些 search-engine-fu 揭示了OpenSSL 3.0.7 版本针对两个 CVE:
- CVE-2022-3602
- CVE-2022-3786
第三,让我们看看Ubuntu CVE Tracker中的CVE-2022-3602 :
这告诉我们一些重要的事情:
- Ubuntu 安全团队已经在跟踪该问题。
- 唯一受影响的包是
openssl. - 补丁包已经发布。
第四,让我们通过查看跟踪器的包裹详细信息来更深入地挖掘一下:
openssl现在我们知道已修补且安全的软件包的确切版本号。
- 提醒:它已修补,因此版本号不是 3.0.7。但它仍然是安全的;CVE 已得到缓解。
最后,让我们看看我们的22.04系统是否有那个安全包版本
$ apt list openssl
Listing... Done
openssl/jammy-updates,jammy-security,now 3.0.2-0ubuntu1.6 amd64 [installed,automatic]
它不是安全版本(回想一下,安全版本是3.0.2-0ubuntu1.7)。但它今天发布了,所以简单sudo apt update并sudo apt upgrade显示了 openssl 更新,然后:
$ apt list openssl
Listing... Done
openssl/jammy-security,now 3.0.2-0ubuntu1.7 amd64 [installed,automatic]
安全的!该系统现在正在运行一个已由 Ubuntu 安全团队修补的软件包,以缓解 CVE-2022-3602 的影响。
检查 CVE-2022-3786 是否也得到缓解,留作学生的练习。
最后一点:如果很多信息对您来说都是新的(补丁、CVE、跟踪器、令人困惑的版本号),那么揭开面纱并了解正在发生的事情的一种简单方法是 Ubuntu安全播客的几集, Ubuntu 安全团队每周对安全相关主题进行简短的讨论。他们希望你能理解!
- 这种方法的最大问题是当尝试审核/验证 nginx 或 python 之类的东西是否正在使用标准库并且没有执行静态链接时。例如在 python 中你可以执行 `import ssl; ssl.OPENSSL_VERSION` 输出 `3.0.2 Mar 2022` 并且不关心 ubuntu1.7 标签。已导入 ssl 的 python pid 上的 `lsof -p xxxx` 应显示 .so 的路径,通常为 `/usr/lib/x86_64-linux-gnu/libssl.so.3` 并且具有 Oct 27 12: 06 时间戳。nginx 可以通过“ldd $(which nginx)”来完成,您可以看到它正在使用正确的 .so 文件。 (9认同)
- 写得真棒有深度。没想到补丁竟然还能这么用! (4认同)
- 很好的答案,但是在我的 Ubuntu 22.04.1 上,当我执行 `sudo apt update` 和 `sudo apt update` 时,我没有看到任何 openssl 更新,并且仍然看到 `3.0.2-0ubuntu1.6`。我是不是少了一步? (3认同)
| 归档时间: |
|
| 查看次数: |
46277 次 |
| 最近记录: |