Warum veralten Paketversionen und sind nicht mehr verfügbar?

Question 1

Verwenden wir das rmadisonPaket Datenbankabfrage undhttp://changelogs.ubuntu.comum herauszufinden, warum diese Pakete ersetzt wurden.

Schauen wir uns zuerst curl an:

$ rmadison curl | grep xenial
 curl | 7.47.0-1ubuntu2    | xenial           | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-security  | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-updates   | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Aha: Sehen Sie, dass sowohl -security als auch -updates auf 2.15 drängen? Das bedeutet, dass es sich wahrscheinlich um einen Sicherheitspatch handelte. Für spezifische Details schauen wir uns an: https://changelogs.ubuntu.com/changelogs/binary/c/curl/7.47.0-1ubuntu2.15/changelog

curl (7.47.0-1ubuntu2.15) xenial-security; Dringlichkeit=mittel

SICHERHEITSUPDATE: curl überschreibt lokale Datei mit -J

debian/patches/CVE-2020-8177.patch: -i ist nicht OK, wenn -J in src/tool_cb_hdr.c, src/tool_getparam.c verwendet wird.

CVE-2020-8177

-- Marc Deslauriers[email geschützt] Mi., 17. Juni 2020, 09:21:55 -0400

Schauen wir uns nun den OpenSSH-Server an:

$ rmadison openssh-server | grep xenial
 openssh-server | 1:7.2p2-4           | xenial           | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.8  | xenial-security  | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.10 | xenial-updates   | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Sehen Sie, dass -updates eine höhere Version hat? Das bedeutet, dass das neue Paket wahrscheinlich ein Bugfix und kein Sicherheitspatch ist. Mal sehen, washttps://changelogs.ubuntu.com/changelogs/binary/o/openssh-server/1:7.2p2-4ubuntu2.10/changelogmuss sagen:

openssh (1:7.2p2-4ubuntu2.10) xenial; Dringlichkeit=mittel

Deadlock beheben, wenn AuthorizedKeysCommand eine große Ausgabe erzeugt. (LP: #1877454)

d/p/authkeyscommand-deadlock-01.patch: Stellen Sie sicher, dass Sie fclose(2) aufrufen und dem Dateihandler, der zum Lesen der „Authorized{Keys,Principal}Command“-Direktiven verwendet wird, NULL zuweisen.

d/p/authkeyscommand-deadlock-02.patch: Verwenden Sie die gesamte Ausgabe, die vom Befehl generiert wird, auf den „Authorized{Keys,Principal}Command“ verweist, um das Senden eines SIGPIPE an den Prozess zu vermeiden.

-- Sergio Durigan Junior[email geschützt] Mi., 13. Mai 2020, 10:12:28 Uhr -0400

Answer

Verwenden wir das rmadisonPaket Datenbankabfrage undhttp://changelogs.ubuntu.comum herauszufinden, warum diese Pakete ersetzt wurden.

Schauen wir uns zuerst curl an:

$ rmadison curl | grep xenial
 curl | 7.47.0-1ubuntu2    | xenial           | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-security  | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-updates   | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Aha: Sehen Sie, dass sowohl -security als auch -updates auf 2.15 drängen? Das bedeutet, dass es sich wahrscheinlich um einen Sicherheitspatch handelte. Für spezifische Details schauen wir uns an: https://changelogs.ubuntu.com/changelogs/binary/c/curl/7.47.0-1ubuntu2.15/changelog

curl (7.47.0-1ubuntu2.15) xenial-security; Dringlichkeit=mittel

SICHERHEITSUPDATE: curl überschreibt lokale Datei mit -J

debian/patches/CVE-2020-8177.patch: -i ist nicht OK, wenn -J in src/tool_cb_hdr.c, src/tool_getparam.c verwendet wird.

CVE-2020-8177

-- Marc Deslauriers[email geschützt] Mi., 17. Juni 2020, 09:21:55 -0400

Schauen wir uns nun den OpenSSH-Server an:

$ rmadison openssh-server | grep xenial
 openssh-server | 1:7.2p2-4           | xenial           | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.8  | xenial-security  | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.10 | xenial-updates   | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Sehen Sie, dass -updates eine höhere Version hat? Das bedeutet, dass das neue Paket wahrscheinlich ein Bugfix und kein Sicherheitspatch ist. Mal sehen, washttps://changelogs.ubuntu.com/changelogs/binary/o/openssh-server/1:7.2p2-4ubuntu2.10/changelogmuss sagen:

openssh (1:7.2p2-4ubuntu2.10) xenial; Dringlichkeit=mittel

Deadlock beheben, wenn AuthorizedKeysCommand eine große Ausgabe erzeugt. (LP: #1877454)

d/p/authkeyscommand-deadlock-01.patch: Stellen Sie sicher, dass Sie fclose(2) aufrufen und dem Dateihandler, der zum Lesen der „Authorized{Keys,Principal}Command“-Direktiven verwendet wird, NULL zuweisen.

d/p/authkeyscommand-deadlock-02.patch: Verwenden Sie die gesamte Ausgabe, die vom Befehl generiert wird, auf den „Authorized{Keys,Principal}Command“ verweist, um das Senden eines SIGPIPE an den Prozess zu vermeiden.

-- Sergio Durigan Junior[email geschützt] Mi., 13. Mai 2020, 10:12:28 Uhr -0400

Question 2

F: Gibt es eine Möglichkeit, bei Bedarf noch an die alten Pakete zu kommen? Wenn ja, wo?
A: Hier ist eine nützliche Quellepkgs.orgDie Verwendung erfolgt jedoch auf eigenes Risiko.

Answer

F: Gibt es eine Möglichkeit, bei Bedarf noch an die alten Pakete zu kommen? Wenn ja, wo?
A: Hier ist eine nützliche Quellepkgs.orgDie Verwendung erfolgt jedoch auf eigenes Risiko.

Warum veralten Paketversionen und sind nicht mehr verfügbar?

Antwort1

Antwort2

verwandte Informationen