我們正在基於 Ubuntu 構建 docker 映像xenial(我知道 EOL 04/21),我們正在使用curl=7.47.0-1ubuntu2.14和openssh-server=1:7.2p2-4ubuntu2.8,但兩者現在都不可用。
現在有curl 套件curl=7.47.0-1ubuntu2.15和ssh-server openssh-server=1:7.2p2-4ubuntu2.10。我想知道為什麼會這樣以及兩個原始軟體包如何變得不可用?
如果需要的話,有什麼辦法我仍然可以獲得舊包裹嗎?如果是的話,在哪裡?
答案1
讓我們使用rmadison套件資料庫查詢和http://changelogs.ubuntu.com找出為什麼這些軟體包被取代。
我們先看一下捲曲:
$ rmadison curl | grep xenial
curl | 7.47.0-1ubuntu2 | xenial | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
curl | 7.47.0-1ubuntu2.15 | xenial-security | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
curl | 7.47.0-1ubuntu2.15 | xenial-updates | source, amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
啊哈:看到 -security 和 -updates 都在推動 2.15 了嗎?這意味著它可能是安全補丁。具體細節我們來看一下 https://changelogs.ubuntu.com/changelogs/binary/c/curl/7.47.0-1ubuntu2.15/changelog
捲曲 (7.47.0-1ubuntu2.15) xenial 安全;緊急程度=中
- 安全性更新:curl 使用 -J 覆蓋本機文件
- debian/patches/CVE-2020-8177.patch:如果在 src/tool_cb_hdr.c、src/tool_getparam.c 中使用 -J,則 -i 不正確。
- CVE-2020-8177
——馬克·德勞里埃[電子郵件受保護] 2020 年 6 月 17 日星期三 09:21:55 -0400
現在讓我們來看看 openssh-server:
$ rmadison openssh-server | grep xenial
openssh-server | 1:7.2p2-4 | xenial | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
openssh-server | 1:7.2p2-4ubuntu2.8 | xenial-security | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
openssh-server | 1:7.2p2-4ubuntu2.10 | xenial-updates | amd64, arm64, armhf, i386, powerpc, ppc64el, s390x
看看-updates如何有更高的版本?這意味著新軟體包可能是錯誤修復而不是安全性修補程式。讓我們看看是什麼https://changelogs.ubuntu.com/changelogs/binary/o/openssh-server/1:7.2p2-4ubuntu2.10/changelog不得不說:
openssh (1:7.2p2-4ubuntu2.10) xenial;緊急程度=中
- 修復 AuthorizedKeysCommand 產生大量輸出時的死鎖。 (LP:#1877454)
- d/p/authkeyscommand-deadlock-01.patch:確保呼叫 fclose(2) 並將 NULL 指派給用於讀取「Authorized{Keys,Principal}Command」指令的檔案處理程序。
- d/p/authkeyscommand-deadlock-02.patch:使用「Authorized{Keys,Principal}Command」指向的命令產生的整個輸出,以避免向進程發送 SIGPIPE。
——小塞爾吉奧·杜里根[電子郵件受保護] 2020 年 5 月 13 日星期三 10:12:28 -0400
答案2
Q:如果需要的話,有什麼辦法我仍然可以獲得舊包裹嗎?如果是的話,在哪裡?
答:這是一個有用的來源pkgs.org但使用該工具的風險由您自行承擔。