Сообщение об ошибке, которое вы видите, указывает на то, что моя система не обновлена до последней версии OpenSSL, которая включает исправление уязвимости CVE-2023-2650. Как это исправить:
Hit:1 http://us.archive.ubuntu.com/ubuntu jammy InRelease
Hit:2 http://us.archive.ubuntu.com/ubuntu jammy-updates InRelease
Hit:3 https://dl.google.com/linux/chrome/deb stable InRelease
Hit:4 https://packages.microsoft.com/repos/edge stable InRelease
Hit:5 http://us.archive.ubuntu.com/ubuntu jammy-backports InRelease
Hit:6 https://esm.ubuntu.com/cis/ubuntu jammy InRelease
Hit:7 http://us.archive.ubuntu.com/ubuntu jammy-security InRelease
Hit:8 https://esm.ubuntu.com/apps/ubuntu jammy-apps-security InRelease
Hit:9 https://esm.ubuntu.com/apps/ubuntu jammy-apps-updates InRelease
Hit:10 https://esm.ubuntu.com/infra/ubuntu jammy-infra-security InRelease
Hit:11 https://esm.ubuntu.com/infra/ubuntu jammy-infra-updates InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
4 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
#
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
#
The following packages have been kept back:
libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.
версия openssl:
OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)
решение1
Ваши предположения, к сожалению, неверны. Позвольте мне расшифровать сообщение для вас.
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
Этосервисное сообщениесообщая вам, что есть обновление безопасности для OpenSSL. Это неошибка,предупреждениеили что-то в этом роде.
The following packages have been kept back:
libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.
Поскольку 4 пакета заблокированы и ни один не подлежит обновлению, очевидно, что OpenSSL уже обновлен до последней версии.
Если вы побежите, apt policy opensslвы получите:
openssl:
Installed: 3.0.2-0ubuntu1.10
Candidate: 3.0.2-0ubuntu1.10
Version table:
...
Этопоследняя обновленная версия(по состоянию на август 2023 г.).
Сообщение apt — это всего лишь сервис, известный как «APT News». Чтобы удалить эти сообщения,см. этот вопрос и ответ.
решение2
Это все еще выскакивает у меня. Если вы знаете исправленную версию (3.0.2-0ubuntu1.10), вы можете проверить установленную версию с помощью apt list openssl:
openssl/jammy-security,jammy-updates,now 3.0.2-0ubuntu1.10 amd64 [installed]
Мне не удалось убрать предупреждение при запуске sudo apt upgrade, но вы можете запустить его, sudo pro fix CVE-2023-2650чтобы проверить, есть ли у вас другие уязвимые пакеты:
CVE-2023-2650: OpenSSL vulnerability
- https://ubuntu.com/security/CVE-2023-2650
No affected source packages are installed.
✔ CVE-2023-2650 does not affect your system.