Come risolvere il problema di sicurezza AWS ALAS-2018-1045?

0

Sto facendo ricerche sul buco di sicurezza CVE-2018-12020 e ho appreso che è necessario aggiornare alla versione minima 2.2.8 per risolvere il problema.

Ho bisogno di risolvere questo problema per il mio EC2. Ho letto le informazioni di questo rapporto AWS ufficiale e dice che il buco della sicurezza verrà risolto dopo Eseguo yum update gnupg gnupg2 .

Nella sessione di nuovi pacchetti:

i686:
    gnupg-1.4.19-1.29.amzn1.i686
    gnupg-debuginfo-1.4.19-1.29.amzn1.i686
    gnupg2-smime-2.0.28-2.32.amzn1.i686
    gnupg2-debuginfo-2.0.28-2.32.amzn1.i686
    gnupg2-2.0.28-2.32.amzn1.i686

src:
    gnupg-1.4.19-1.29.amzn1.src
    gnupg2-2.0.28-2.32.amzn1.src

x86_64:
    gnupg-1.4.19-1.29.amzn1.x86_64
    gnupg-debuginfo-1.4.19-1.29.amzn1.x86_64
    gnupg2-smime-2.0.28-2.32.amzn1.x86_64
    gnupg2-debuginfo-2.0.28-2.32.amzn1.x86_64
    gnupg2-2.0.28-2.32.amzn1.x86_64

Perché AWS mostra solo come versione in 2.0.28, nonostante la prima affermazione che il buco di sicurezza verrà risolto solo quando si aggiorna a 2.2.8? Questo mi confonde.

È un pacchetto prima (era affetto da questo bug) o dopo l'aggiornamento (AWS corretto per questo bug)?

    
posta Sơn Lâm 10.10.2018 - 12:08
fonte

1 risposta

2

La confusione che stai affrontando è quella di Amazon & RedHat back port correzioni nel loro ramo stabile conosciuto, questo per dire che

gnupg2-2.0.28-2.32

In realtà indica gnupg2 versione core 2.0.28 con revisioni 2.32 ;

Se sto capendo correttamente la tua domanda, dovresti eseguire: rpm -q gnupg2-2.0.28-2.32 --changelog e ispezionare il log delle modifiche per assicurarti che la versione installata contenga la correzione del backport per CVE-2018-12020

    
risposta data 10.10.2018 - 12:21
fonte

Leggi altre domande sui tag