Уязвимость OpenSSL USN-6119-1
Мэтт Касвелл обнаружил, что OpenSSL можеть неправильно обрабатывать определенные идентификаторы объектов ASN.1.
Уязвимость заключается в том, что злоумышленник может использовать эту проблему, чтобы удаленно заставить OpenSSL потреблять сильно ресурсы, что приведет систему к отказу в обслуживании. (CVE-2023-2650)
Антон Романов обнаружил, что OpenSSL неправильно обрабатывает расшифровку шифра AES-XTS на 64-битных платформах ARM. Эта проблема затрагивает 18.04 LTS, 20.04 LTS, Ubuntu 22.04 LTS, Ubuntu 22.10 и Ubuntu 23.04. (CVE-2023-1255)
Ваша система предупредит вас при подключении:
#
# An OpenSSL vulnerability has recently been fixed with USN-6188-1 & 6119-1:
# CVE-2023-2650: possible DoS translating ASN.1 object identifiers.
# Ensure you have updated the package to its latest version.
#
Инструкции по обновлению: запустите, чтобы устранить уязвимость:
sudo pro fix USN-6119-1Результатом будет вывод:
Проблему можно решить, обновив систему до следующих версий пакетов:
Ubuntu 23.04:
libssl3 3.0.8-1ubuntu1.2
Ubuntu 22.10:
libssl3 3.0.5-2ubuntu2.3
Ubuntu 22.04 LTS:
libssl3 3.0.2-0ubuntu1.10
Ubuntu 20.04 LTS:
libssl1.1 1.1.1f-1ubuntu2.19
Ubuntu 18.04 LTS:
libssl1.0.0 1.0.2n-1ubuntu5.13
libssl1.1 1.1.1-1ubuntu2.1~18.04.23
CVE, содержащиеся в этом USN, включают: CVE-2023-1255, CVE-2023-2650.
Никита15.07.2023
Добрый день, а после обновы у меня остается эот сообщение, это считается норм или нет ? Или оно just reminder ? Пакеты все крайней версии стоят
Да, верно, если у вас уже установлены последние версии, то вы получаете это сообщение, потому что у вас установлен пакет ubuntu-advantage-tools, который, среди прочего функционала, закидывает "новости безопасности" в диспетчер пакетов apt.