OpenSSL의 CVE-2023-2650-A 유형 혼동 취약점을 해결하는 방법은 무엇입니까?

2024-6-29 • tag-icon

upgrade updates openssl

OpenSSL의 CVE-2023-2650-A 유형 혼동 취약점을 해결하는 방법은 무엇입니까?

표시되는 오류 메시지는 내 시스템이 CVE-2023-2650 취약점에 대한 수정 사항이 포함된 최신 버전의 OpenSSL로 업데이트되지 않았음을 나타냅니다. 이 문제를 해결하려면:

Hit:1 http://us.archive.ubuntu.com/ubuntu jammy InRelease                                                           
Hit:2 http://us.archive.ubuntu.com/ubuntu jammy-updates InRelease                                                                                     
Hit:3 https://dl.google.com/linux/chrome/deb stable InRelease                                                                                         
Hit:4 https://packages.microsoft.com/repos/edge stable InRelease                                                                
Hit:5 http://us.archive.ubuntu.com/ubuntu jammy-backports InRelease 
Hit:6 https://esm.ubuntu.com/cis/ubuntu jammy InRelease
Hit:7 http://us.archive.ubuntu.com/ubuntu jammy-security InRelease
Hit:8 https://esm.ubuntu.com/apps/ubuntu jammy-apps-security InRelease
Hit:9 https://esm.ubuntu.com/apps/ubuntu jammy-apps-updates InRelease
Hit:10 https://esm.ubuntu.com/infra/ubuntu jammy-infra-security InRelease
Hit:11 https://esm.ubuntu.com/infra/ubuntu jammy-infra-updates InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
4 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
#
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
#
The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

openssl 버전:

OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

답변1

불행히도 귀하의 가정은 잘못되었습니다. 내가 당신을 위해 메시지를 해독하겠습니다.

# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.

이것은서비스 메시지OpenSSL에 대한 보안 업데이트가 있음을 알려드립니다. 그것은 아니다오류,경고아니면 전혀 그런 것.

The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

4개의 패키지가 보류되어 있고 업그레이드할 패키지가 없으므로 OpenSSL이 이미 최신 버전으로 업그레이드된 것이 분명합니다.

실행하면 apt policy openssl다음을 얻을 수 있습니다.

openssl:
  Installed: 3.0.2-0ubuntu1.10 
  Candidate: 3.0.2-0ubuntu1.10
  Version table: 
  ...

이것이최신 업그레이드 버전(2023년 8월 기준).

적절한 메시지는 "APT 뉴스"로 알려진 서비스일 뿐입니다. 해당 메시지를 제거하려면,이 Q&A를 참조하세요.

답변2

이것은 여전히 나에게 나타납니다. 패치된 버전을 알고 계시다면 (3.0.2-0우분투1.10), 다음을 사용하여 설치된 버전을 확인할 수 있습니다 apt list openssl.

openssl/jammy-security,jammy-updates,now 3.0.2-0ubuntu1.10 amd64 [installed]

를 실행할 때 사라지라는 경고를 받을 수는 없지만 다른 취약한 패키지가 있는지 확인하기 위해 sudo apt upgrade실행할 수 있습니다 .sudo pro fix CVE-2023-2650

CVE-2023-2650: OpenSSL vulnerability
 - https://ubuntu.com/security/CVE-2023-2650

No affected source packages are installed.

✔ CVE-2023-2650 does not affect your system.

관련 정보