web-dev-qa-db-fra.com

Comment mettre à jour / corriger ma libssh?

Exécuter Ubuntu 16.04 - Après avoir entendu parler du problème de sécurité avec libssh, je tente de mettre à jour le paquet.

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Il semble que je cours libssh 0.6.3-4.3?

dpkg -l | grep libssh
ii  libssh-gcrypt-4:AMD64                 0.6.3-4.3                                  AMD64        tiny C SSH library (gcrypt flavor)

Comme je ne peux pas faire une simple mise à jour d'apt ou une mise à jour d'apt pouvant provoquer la défaillance de certains logiciels, j'ai installé les mises à jour de sécurité uniquement à l'aide de

apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | awk -F " " {'print $2'} | xargs apt-get install

trouvé ici .

Cela semble avoir effacé ma liste de mises à jour de sécurité en attente - Cependant, ma libssh est toujours la même version après le redémarrage.

Est-il possible que la mise à jour n'ait pas encore été poussée?

Merci d'avoir lu!

package-managementupgradessh
1
askef

Le buntu Security Team maintient une base de données de CVE et de leurs correctifs.

Vous pouvez voir par vous-même si le correctif pour une CVE particulière a été mis en place: https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html

Les dépôts Debian (pas Snap) d'Ubuntu utilisent une méthode de capture instantanée . Après la publication, la plupart des packages ne recevront pas de nouvelles versions en amont, mais recevront des correctifs de sécurité et des corrections de bogues hautement prioritaires. Ce comportement peut être différent de ce que le site Web en amont vous laisse croire.

Exemple: libssh 0.6.3-4.3 se trouve dans le dépôt Ubuntu 16.04. Ubuntu NE METTRE PAS le paquet à la version 0.7.6. Ubuntu corrigera la vuln et mettra à jour le paquet vers (quelque chose comme) '0.6.3-4.3Ubuntu0'

EDIT: J'étais proche. Ils ont mis à jour la version à 0.6.3-4.3ubuntu0.1

Les clichés, bien sûr, fonctionnent différemment.

3
user535733

Une mise à jour est disponible:

libssh (0.6.3-4.3ubuntu0.1) xenial-security; urgence = moyenne

  • SECURITY UPDATE: vulnérabilité liée au contournement de l'authentification
    • debian/patches/CVE-2018-10933 - *. patch: ajoutez des correctifs en amont pour corriger le problème.
    • CVE-2018-10933
2
mikewhatever