Como corrigir vulnerabilidade de confusão de tipo CVE-2023-2650-A no OpenSSL?

tag-icon tag-icon upgrade updates openssl
Como corrigir vulnerabilidade de confusão de tipo CVE-2023-2650-A no OpenSSL?

A mensagem de erro que você vê indica que meu sistema não foi atualizado para a versão mais recente do OpenSSL, que inclui uma correção para a vulnerabilidade CVE-2023-2650. Como consertar isto:

Hit:1 http://us.archive.ubuntu.com/ubuntu jammy InRelease                                                           
Hit:2 http://us.archive.ubuntu.com/ubuntu jammy-updates InRelease                                                                                     
Hit:3 https://dl.google.com/linux/chrome/deb stable InRelease                                                                                         
Hit:4 https://packages.microsoft.com/repos/edge stable InRelease                                                                
Hit:5 http://us.archive.ubuntu.com/ubuntu jammy-backports InRelease 
Hit:6 https://esm.ubuntu.com/cis/ubuntu jammy InRelease
Hit:7 http://us.archive.ubuntu.com/ubuntu jammy-security InRelease
Hit:8 https://esm.ubuntu.com/apps/ubuntu jammy-apps-security InRelease
Hit:9 https://esm.ubuntu.com/apps/ubuntu jammy-apps-updates InRelease
Hit:10 https://esm.ubuntu.com/infra/ubuntu jammy-infra-security InRelease
Hit:11 https://esm.ubuntu.com/infra/ubuntu jammy-infra-updates InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
4 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
#
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
#
The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

versão OpenSSL:

OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

Responder1

Infelizmente, suas suposições estão erradas. Deixe-me decifrar a mensagem para você.

# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.

Isto é ummensagem de serviçoinformando que há uma atualização de segurança para OpenSSL. Não é umerro,avisoou qualquer coisa assim.

The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

Como há 4 pacotes retidos e nenhum para ser atualizado, é evidente que o OpenSSL já está atualizado para a versão mais recente.

Se você correr, apt policy opensslobterá:

openssl:
  Installed: 3.0.2-0ubuntu1.10 
  Candidate: 3.0.2-0ubuntu1.10
  Version table: 
  ...

Isto é oúltima versão atualizada(em agosto de 2023).

A mensagem apt é apenas um serviço conhecido como "APT News". Para remover essas mensagens,veja estas perguntas e respostas.

Responder2

Isso ainda está aparecendo para mim. Se você conhece a versão corrigida (3.0.2-0ubuntu1.10), você pode verificar sua versão instalada com apt list openssl:

openssl/jammy-security,jammy-updates,now 3.0.2-0ubuntu1.10 amd64 [installed]

Não consegui fazer com que o aviso desaparecesse quando executo sudo apt upgrade, mas você pode executar sudo pro fix CVE-2023-2650para verificar se possui algum outro pacote vulnerável:

CVE-2023-2650: OpenSSL vulnerability
 - https://ubuntu.com/security/CVE-2023-2650

No affected source packages are installed.

✔ CVE-2023-2650 does not affect your system.

informação relacionada