如何修復 OpenSSL 中的 CVE-2023-2650-A 類型混淆漏洞？

2024-7-5 • tag-icon

upgrade updates openssl

如何修復 OpenSSL 中的 CVE-2023-2650-A 類型混淆漏洞？

您看到的錯誤訊息表明我的系統尚未更新到最新版本的 OpenSSL，其中包括對 CVE-2023-2650 漏洞的修復。如何解決這個問題：

Hit:1 http://us.archive.ubuntu.com/ubuntu jammy InRelease                                                           
Hit:2 http://us.archive.ubuntu.com/ubuntu jammy-updates InRelease                                                                                     
Hit:3 https://dl.google.com/linux/chrome/deb stable InRelease                                                                                         
Hit:4 https://packages.microsoft.com/repos/edge stable InRelease                                                                
Hit:5 http://us.archive.ubuntu.com/ubuntu jammy-backports InRelease 
Hit:6 https://esm.ubuntu.com/cis/ubuntu jammy InRelease
Hit:7 http://us.archive.ubuntu.com/ubuntu jammy-security InRelease
Hit:8 https://esm.ubuntu.com/apps/ubuntu jammy-apps-security InRelease
Hit:9 https://esm.ubuntu.com/apps/ubuntu jammy-apps-updates InRelease
Hit:10 https://esm.ubuntu.com/infra/ubuntu jammy-infra-security InRelease
Hit:11 https://esm.ubuntu.com/infra/ubuntu jammy-infra-updates InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
4 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
#
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
#
The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

openssl 版本：

OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

答案1

不幸的是，你的假設是錯的。讓我為您解讀這則訊息。

# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.

這是一個服務留言告訴您 OpenSSL 有安全性更新。這不是一個錯誤,警告或類似的東西。

The following packages have been kept back:
  libspeechd2 speech-dispatcher speech-dispatcher-audio-plugins speech-dispatcher-espeak-ng
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

由於有 4 個軟體包被保留，並且沒有一個軟體包需要升級，因此顯然 OpenSSL 已經升級到最新版本。

如果你運行apt policy openssl你會得到：

openssl:
  Installed: 3.0.2-0ubuntu1.10 
  Candidate: 3.0.2-0ubuntu1.10
  Version table: 
  ...

這是最新升級版本（截至 2023 年 8 月）。

apt訊息只是一種服務，稱為「APT新聞」。要刪除這些訊息，請參閱此問答。

答案2

這對我來說仍然會出現。如果您知道修補版本（3.0.2-0ubuntu1.10），您可以使用以下命令檢查您安裝的版本apt list openssl：

openssl/jammy-security,jammy-updates,now 3.0.2-0ubuntu1.10 amd64 [installed]

當我運行時，我無法讓警告消失sudo apt upgrade，但您可以運行sudo pro fix CVE-2023-2650來檢查是否有任何其他易受攻擊的軟體包：

CVE-2023-2650: OpenSSL vulnerability
 - https://ubuntu.com/security/CVE-2023-2650

No affected source packages are installed.

✔ CVE-2023-2650 does not affect your system.

相關內容