Die angezeigte Fehlermeldung weist darauf hin, dass mein System nicht auf die neueste Version von OpenSSL aktualisiert wurde, die einen Fix für die Sicherheitslücke CVE-2023-2650 enthält. So beheben Sie das Problem:
Hit:1 http://us.archive.ubuntu.com/ubuntu jammy InRelease
Hit:2 http://us.archive.ubuntu.com/ubuntu jammy-updates InRelease
Hit:3 https://dl.google.com/linux/chrome/deb stable InRelease
Hit:4 https://packages.microsoft.com/repos/edge stable InRelease
Hit:5 http://us.archive.ubuntu.com/ubuntu jammy-backports InRelease
Hit:6 https://esm.ubuntu.com/cis/ubuntu jammy InRelease
Hit:7 http://us.archive.ubuntu.com/ubuntu jammy-security InRelease
Hit:8 https://esm.ubuntu.com/apps/ubuntu jammy-apps-security InRelease
Hit:9 https://esm.ubuntu.com/apps/ubuntu jammy-apps-updates InRelease
Hit:10 https://esm.ubuntu.com/infra/ubuntu jammy-infra-security InRelease
Hit:11 https://esm.ubuntu.com/infra/ubuntu jammy-infra-updates InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
4 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
#
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
#
The following packages have been kept back:
libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.
OpenSSL-Version:
OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)
Antwort1
Ihre Annahmen sind leider falsch. Lassen Sie mich die Nachricht für Sie entschlüsseln.
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
Das ist einServicemeldungteilt Ihnen mit, dass es ein Sicherheitsupdate für OpenSSL gibt. Es ist keinFehler,Warnungoder irgendetwas in der Art.
The following packages have been kept back:
libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.
Da vier Pakete zurückgehalten werden und keines aktualisiert werden muss, ist es offensichtlich, dass OpenSSL bereits auf die neueste Version aktualisiert wurde.
Wenn Sie rennen, apt policy opensslerhalten Sie:
openssl:
Installed: 3.0.2-0ubuntu1.10
Candidate: 3.0.2-0ubuntu1.10
Version table:
...
Dies ist dasneueste aktualisierte Version(Stand: August 2023).
Die apt-Meldung ist nur ein Dienst, bekannt als "APT News". Um diese Meldungen zu entfernen,siehe diese Fragen und Antworten.
Antwort2
Das kommt bei mir immer noch vor. Wenn Sie die gepatchte Version kennen (3.0.2-0ubuntu1.10), können Sie Ihre installierte Version wie folgt überprüfen apt list openssl:
openssl/jammy-security,jammy-updates,now 3.0.2-0ubuntu1.10 amd64 [installed]
Es ist mir nicht gelungen, die Warnung beim Ausführen von zu entfernen sudo apt upgrade. Sie können jedoch Folgendes ausführen, sudo pro fix CVE-2023-2650um zu prüfen, ob Sie andere anfällige Pakete haben:
CVE-2023-2650: OpenSSL vulnerability
- https://ubuntu.com/security/CVE-2023-2650
No affected source packages are installed.
✔ CVE-2023-2650 does not affect your system.