openssl 1.1.1x의 현재 보안 문제로 인해 소스에서 (Ubuntu) 시스템을 업그레이드해야 합니다. 적절한 경우에만 최신 openssl(1.1.1f)이 최신임을 알 수 있기 때문입니다.
고쳐 쓰다 CVE-2022-0778
sudo apt update/upgrade를 실행한 후에도 openssl은 여전히 버전 1.1.1f에 있으며 이는 적어도 Ubuntu 20.04에서는 취약합니다.
답변1
루트로: (또는 sudo 사용)
$ sudo su
# cd /usr/src
# wget https://www.openssl.org/source/openssl-3.0.2.tar.gz
# tar zxvf openssl-3.0.2.tar.gz
# cd openssl-3.0.2
# ./Configure
# make
# make install
이전 버전의 OpenSSL이 설치되어 있는 경우 다음을 수행해야 할 수 있습니다.
# cd /usr/lib/ssl
# unlink openssl.cnf
# ln -s /usr/local/ssl/openssl.cnf openssl.cnf
# ldconfig
# openssl version
OpenSSL 3.0.2가 표시되면 성공입니다.
그렇지 않으면 openssl을 찾을 수 없거나 다른 오류가 발생하는 경우
x86_64 아키텍처를 사용하는 경우
# ldconfig /usr/local/lib64
답변2
하지만Ubuntu의 OpenSSL 버전이전 버전에 따라 알려진 보안 문제에 대한 수정 사항을 포함하도록 패치가 적용되었습니다.
예를 들어 20.04(최신 LTS)에서는 다음과 같습니다.
openssl (1.1.1f-1ubuntu2.12) focal-security; urgency=medium
* SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
- debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
crypto/bn/bn_sqrt.c.
- debian/patches/CVE-2022-0778-2.patch: add documentation of
BN_mod_sqrt() in doc/man3/BN_add.pod.
- debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
- CVE-2022-0778
21.10(최신 버전):
openssl (1.1.1l-1ubuntu1.2) impish-security; urgency=medium
* SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
- debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
crypto/bn/bn_sqrt.c.
- debian/patches/CVE-2022-0778-2.patch: add documentation of
BN_mod_sqrt() in doc/man3/BN_add.pod.
- debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
- CVE-2022-0778
당신은 또한 볼 수 있습니다해당 보안 공지.
지원되는 Ubuntu(및 기타 배포판) 버전에서는 업데이트를 계속 설치하는 한 보안 문제를 해결하기 위해 소프트웨어를 직접 구축할 필요가 없습니다.