Kirjoittaja Aihe: OpenSSL-haavoittuvuus  (Luettu 2010 kertaa)

mpiso

  • Käyttäjä
  • Viestejä: 657
    • Profiili
OpenSSL-haavoittuvuus
« : 11.07.23 - klo:20.57 »
Tuli päivityksen (sudo apt full-upgrade) yhteydessä alla oleva teksti. Käsketään varmistaa, että olet päivittänyt paketin uusimpaan versioon. Mikä paketti pitäisi päivittää? Ainakaan pakettia CVE-2023-2650 ei löydy.

Koodia: [Valitse]
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.

juyli

  • Käyttäjä / moderaattori
  • Viestejä: 1200
    • Profiili
Vs: OpenSSL-haavoittuvuus
« Vastaus #1 : 12.07.23 - klo:00.30 »
Tuli päivityksen (sudo apt full-upgrade) yhteydessä alla oleva teksti. Käsketään varmistaa, että olet päivittänyt paketin uusimpaan versioon.
Jakeluihin normaaleina päivityksinä asentuvat viimeisimmät tietoturvaan liittyvät ohjelmat.

PS. sudo apt full-upgrade komento vaatii aina ohjelmalähteiden päivityksen esim. komennolla sudo apt update. Ja huolehtimalla, että jakelu on ajanmukainen ja yhä  tuettu versio.

mpiso

  • Käyttäjä
  • Viestejä: 657
    • Profiili
Vs: OpenSSL-haavoittuvuus
« Vastaus #2 : 12.07.23 - klo:22.30 »
Jakeluihin normaaleina päivityksinä asentuvat viimeisimmät tietoturvaan liittyvät ohjelmat.

Näin minäkin olen asian ymmärtänyt. Siksi tuntuu erikoiselta, että kehotetaan tarkistamaan, onko paketti päivitetty uusimpaan versioon. Eikä selvästi kerrota, mistä paketista on kyse.

PS. sudo apt full-upgrade komento vaatii aina ohjelmalähteiden päivityksen esim. komennolla sudo apt update. Ja huolehtimalla, että jakelu on ajanmukainen ja yhä  tuettu versio.

Annan aina ensin komennon sudo apt update, vaikka tulee ilmoitus, että päivityksiä on saatavilla. Tuettua (22.04) versiota käytän.

juyli

  • Käyttäjä / moderaattori
  • Viestejä: 1200
    • Profiili
Vs: OpenSSL-haavoittuvuus
« Vastaus #3 : 14.07.23 - klo:00.57 »
Näin minäkin olen asian ymmärtänyt. Siksi tuntuu erikoiselta, että kehotetaan tarkistamaan, onko paketti päivitetty uusimpaan versioon. Eikä selvästi kerrota, mistä paketista on kyse.
Eiköhän prosessi seuraa latua:
hakkerit havaitsevat ohjelmassa olevan tietoturvaan liittyvän ongelman, josta informoidaan. Ohjelman kehittäjätiimi pyrkii löytämään ratkaisun ohjelmavirheeseen.  Kun ratkaisu on onnistuttu koodaamaan, jaetaan ohjelman korjattu koodi käytettäväksi. Kun korjattu koodi on tarjolla, kunkin jakelun kehittäjät muokkaavat koodin toimimaan ko. jakeluun sopivaksi. Ohjelman testauksien jälkeen, ohjelma jaetaan jakelun ohjelmalähteissä asennettavaksi.

mpiso

  • Käyttäjä
  • Viestejä: 657
    • Profiili
Vs: OpenSSL-haavoittuvuus
« Vastaus #4 : 14.07.23 - klo:20.31 »
Selvisihän se varsinainen kysymys kun hain netistä uudelleen. Alla käännös Mikko Rantalaisen eilen antamasta vastauksesta osoitteessa: https://askubuntu.com/questions/563408/how-can-i-tell-if-a-cve-has-been-fixed-in-ubuntus-repositories

Nopein tapa selvittää, mitkä paketit (jos sellaisia ​​on) sisältävät korjauksen, on liittää CVE-tunniste URL-etuliitteeseen https://ubuntu.com/security/ . Käytän CVE-2023-2650 esimerkkinä ja siinä tapauksessa tuloksena oleva URL on https://ubuntu.com/security/CVE-2023-2650 ja sieltä löydät pakettiversiot jokaiselle Ubuntu-versiolle, jossa haavoittuvuus on korjattu.


Minulla (22.04) korjauspakettien tunnus on 3.0.2-0ubuntu1.10 ja paketit (3 kpl) on päivitetty jo 30.5.2023.