¿Cómo solucionar CVE-2023-2650: una vulnerabilidad de confusión de tipos en OpenSSL?

tag-icon tag-icon upgrade updates openssl
¿Cómo solucionar CVE-2023-2650: una vulnerabilidad de confusión de tipos en OpenSSL?

El mensaje de error que ve indica que mi sistema no se ha actualizado a la última versión de OpenSSL, que incluye una solución para la vulnerabilidad CVE-2023-2650. Cómo arreglar esto:

Hit:1 http://us.archive.ubuntu.com/ubuntu jammy InRelease                                                           
Hit:2 http://us.archive.ubuntu.com/ubuntu jammy-updates InRelease                                                                                     
Hit:3 https://dl.google.com/linux/chrome/deb stable InRelease                                                                                         
Hit:4 https://packages.microsoft.com/repos/edge stable InRelease                                                                
Hit:5 http://us.archive.ubuntu.com/ubuntu jammy-backports InRelease 
Hit:6 https://esm.ubuntu.com/cis/ubuntu jammy InRelease
Hit:7 http://us.archive.ubuntu.com/ubuntu jammy-security InRelease
Hit:8 https://esm.ubuntu.com/apps/ubuntu jammy-apps-security InRelease
Hit:9 https://esm.ubuntu.com/apps/ubuntu jammy-apps-updates InRelease
Hit:10 https://esm.ubuntu.com/infra/ubuntu jammy-infra-security InRelease
Hit:11 https://esm.ubuntu.com/infra/ubuntu jammy-infra-updates InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
4 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
#
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
#
The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

versión de openssl:

OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

Respuesta1

Desafortunadamente, sus suposiciones están equivocadas. Déjame descifrar el mensaje para ti.

# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.

Esto es unmensaje de servicioinformándole que hay una actualización de seguridad para OpenSSL. no es unerror,advertenciao algo así en absoluto.

The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

Dado que hay 4 paquetes retenidos y ninguno por actualizar, es evidente que OpenSSL ya está actualizado a la última versión.

Si corres apt policy opensslobtendrás:

openssl:
  Installed: 3.0.2-0ubuntu1.10 
  Candidate: 3.0.2-0ubuntu1.10
  Version table: 
  ...

Este es elúltima versión actualizada(a agosto de 2023).

El mensaje apt es sólo un servicio, conocido como "APT News". Para eliminar esos mensajes,ver estas preguntas y respuestas.

Respuesta2

Esto todavía me aparece. Si conoce la versión parcheada (3.0.2-0ubuntu1.10), puedes verificar tu versión instalada con apt list openssl:

openssl/jammy-security,jammy-updates,now 3.0.2-0ubuntu1.10 amd64 [installed]

No he podido hacer que la advertencia desaparezca cuando ejecuto sudo apt upgrade, pero puedes ejecutar sudo pro fix CVE-2023-2650para verificar si tienes otros paquetes vulnerables:

CVE-2023-2650: OpenSSL vulnerability
 - https://ubuntu.com/security/CVE-2023-2650

No affected source packages are installed.

✔ CVE-2023-2650 does not affect your system.

información relacionada