Por que as versões dos pacotes ficam obsoletas e ficam indisponíveis?

Question 1

Vamos usar a rmadisonconsulta ao banco de dados do pacote ehttp://changelogs.ubuntu.compara descobrir por que esses pacotes foram substituídos.

Vejamos primeiro o curl:

$ rmadison curl | grep xenial
 curl | 7.47.0-1ubuntu2    | xenial           | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-security  | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-updates   | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Aha: Viu como tanto -security quanto -updates estão chegando à versão 2.15? Isso significa que provavelmente foi um patch de segurança. Para detalhes específicos, vamos dar uma olhada em https://changelogs.ubuntu.com/changelogs/binary/c/curl/7.47.0-1ubuntu2.15/changelog

curl (7.47.0-1ubuntu2.15) segurança xenial; urgência = média

ATUALIZAÇÃO DE SEGURANÇA: curl sobrescreve o arquivo local com -J

debian/patches/CVE-2020-8177.patch: -i não está OK se -J for usado em src/tool_cb_hdr.c, src/tool_getparam.c.

CVE-2020-8177

-Marc Deslauriers[e-mail protegido] Quarta, 17 de junho de 2020 09:21:55 -0400

Agora vamos dar uma olhada no openssh-server:

$ rmadison openssh-server | grep xenial
 openssh-server | 1:7.2p2-4           | xenial           | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.8  | xenial-security  | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.10 | xenial-updates   | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Viu como -updates tem uma versão superior? Isso significa que o novo pacote provavelmente é uma correção de bug em vez de um patch de segurança. Vamos ver o quehttps://changelogs.ubuntu.com/changelogs/binary/o/openssh-server/1:7.2p2-4ubuntu2.10/changelogtem que dizer:

openssh (1: 7.2p2-4ubuntu2.10) xenial; urgência = média

Corrija o impasse quando AuthorizedKeysCommand produz uma saída grande. (LP: #1877454)

d/p/authkeyscommand-deadlock-01.patch: Certifique-se de chamar fclose(2) e atribuir NULL ao manipulador de arquivo usado para ler as diretivas "Authorized{Keys,Principal}Command".

d/p/authkeyscommand-deadlock-02.patch: Consome toda a saída gerada pelo comando apontado por "Authorized{Keys,Principal}Command" para evitar o envio de um SIGPIPE ao processo.

- Sérgio Durigan Júnior[e-mail protegido] Quarta, 13 de maio de 2020 10:12:28 -0400

Answer

Vamos usar a rmadisonconsulta ao banco de dados do pacote ehttp://changelogs.ubuntu.compara descobrir por que esses pacotes foram substituídos.

Vejamos primeiro o curl:

$ rmadison curl | grep xenial
 curl | 7.47.0-1ubuntu2    | xenial           | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-security  | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 curl | 7.47.0-1ubuntu2.15 | xenial-updates   | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Aha: Viu como tanto -security quanto -updates estão chegando à versão 2.15? Isso significa que provavelmente foi um patch de segurança. Para detalhes específicos, vamos dar uma olhada em https://changelogs.ubuntu.com/changelogs/binary/c/curl/7.47.0-1ubuntu2.15/changelog

curl (7.47.0-1ubuntu2.15) segurança xenial; urgência = média

ATUALIZAÇÃO DE SEGURANÇA: curl sobrescreve o arquivo local com -J

debian/patches/CVE-2020-8177.patch: -i não está OK se -J for usado em src/tool_cb_hdr.c, src/tool_getparam.c.

CVE-2020-8177

-Marc Deslauriers[e-mail protegido] Quarta, 17 de junho de 2020 09:21:55 -0400

Agora vamos dar uma olhada no openssh-server:

$ rmadison openssh-server | grep xenial
 openssh-server | 1:7.2p2-4           | xenial           | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.8  | xenial-security  | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
 openssh-server | 1:7.2p2-4ubuntu2.10 | xenial-updates   | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x

Viu como -updates tem uma versão superior? Isso significa que o novo pacote provavelmente é uma correção de bug em vez de um patch de segurança. Vamos ver o quehttps://changelogs.ubuntu.com/changelogs/binary/o/openssh-server/1:7.2p2-4ubuntu2.10/changelogtem que dizer:

openssh (1: 7.2p2-4ubuntu2.10) xenial; urgência = média

Corrija o impasse quando AuthorizedKeysCommand produz uma saída grande. (LP: #1877454)

d/p/authkeyscommand-deadlock-01.patch: Certifique-se de chamar fclose(2) e atribuir NULL ao manipulador de arquivo usado para ler as diretivas "Authorized{Keys,Principal}Command".

d/p/authkeyscommand-deadlock-02.patch: Consome toda a saída gerada pelo comando apontado por "Authorized{Keys,Principal}Command" para evitar o envio de um SIGPIPE ao processo.

- Sérgio Durigan Júnior[e-mail protegido] Quarta, 13 de maio de 2020 10:12:28 -0400

Question 2

P: Existe uma maneira de ainda conseguir os pacotes antigos, se necessário? Se sim, onde?
R: Aqui está uma fonte útilpkgs.orgno entanto, deve ser usado por sua própria conta e risco.

Answer

P: Existe uma maneira de ainda conseguir os pacotes antigos, se necessário? Se sim, onde?
R: Aqui está uma fonte útilpkgs.orgno entanto, deve ser usado por sua própria conta e risco.

Por que as versões dos pacotes ficam obsoletas e ficam indisponíveis?

Responder1

Responder2

informação relacionada