私はそれに関する情報を見つけることができません。たぶん誰かが共有する洞察力があるかもしれません。
aptはいくつかのSSLパッケージをダウングレードすることをお勧めします。
# apt-get update && apt-get dist-upgrade --assume-yes
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
The following packages will be DOWNGRADED:
libssl-dev libssl1.1 openssl
0 upgraded, 0 newly installed, 3 downgraded, 0 to remove and 0 not upgraded.
E: Packages were downgraded and -y was used without --allow-downgrades.
このパッケージがダウングレードされたのはなぜですか?私はそれらをダウングレードするために何も始めませんでした。これは、毎日の分散アップグレード中に起こるものです。
SSLには、迅速かつ簡単に解決できないいくつかの重要なセキュリティ問題があると思います。だからこの問題なく最新バージョンにダウングレードしました。しかし、私は今までそのようなものに関する情報を見つけることができませんでした。
追加情報
Linux <hostname> 4.19.0-14-amd64 #1 SMP Debian 4.19.171-2 (2021-01-30) x86_64 GNU/Linux
libssl-dev/now 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0 amd64 [installed,local]
libssl-dev/stable 1.1.1d-0+deb10u5 amd64
libssl-dev/stable 1.1.1d-0+deb10u4 amd64
libssl-dev/stable 1.1.1d-0+deb10u5 i386
libssl-dev/stable 1.1.1d-0+deb10u4 i386
libssl1.1/now 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0 amd64 [installed,local]
libssl1.1/stable 1.1.1d-0+deb10u5 amd64
libssl1.1/stable 1.1.1d-0+deb10u4 amd64
libssl1.1/stable 1.1.1d-0+deb10u5 i386
libssl1.1/stable 1.1.1d-0+deb10u4 i386
openssl/now 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0 amd64 [installed,local]
openssl/stable 1.1.1d-0+deb10u5 amd64
openssl/stable 1.1.1d-0+deb10u4 amd64
openssl/stable 1.1.1d-0+deb10u5 i386
openssl/stable 1.1.1d-0+deb10u4 i386
# apt policy libssl-dev libssl1.1 openssl
libssl-dev:
Installed: 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0
Candidate: 1.1.1d-0+deb10u5
Version table:
*** 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0 100
100 /var/lib/dpkg/status
1.1.1d-0+deb10u5 1000
500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
1.1.1d-0+deb10u4 1000
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/main amd64 Packages
libssl1.1:
Installed: 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0
Candidate: 1.1.1d-0+deb10u5
Version table:
*** 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0 100
100 /var/lib/dpkg/status
1.1.1d-0+deb10u5 1000
500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
1.1.1d-0+deb10u4 1000
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/main amd64 Packages
openssl:
Installed: 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0
Candidate: 1.1.1d-0+deb10u5
Version table:
*** 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0 100
100 /var/lib/dpkg/status
1.1.1d-0+deb10u5 1000
500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
1.1.1d-0+deb10u4 1000
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/main amd64 Packages
# apt policy
Package files:
100 /var/lib/dpkg/status
release a=now
500 https://packages.sury.org/php buster/main i386 Packages
release o=deb.sury.org,n=buster,c=main,b=i386
origin packages.sury.org
500 https://packages.sury.org/php buster/main amd64 Packages
release o=deb.sury.org,n=buster,c=main,b=amd64
origin packages.sury.org
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster-updates/non-free i386 Packages
release o=Debian,a=stable-updates,n=buster-updates,l=Debian,c=non-free,b=i386
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster-updates/non-free amd64 Packages
release o=Debian,a=stable-updates,n=buster-updates,l=Debian,c=non-free,b=amd64
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster-updates/main i386 Packages
release o=Debian,a=stable-updates,n=buster-updates,l=Debian,c=main,b=i386
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster-updates/main amd64 Packages
release o=Debian,a=stable-updates,n=buster-updates,l=Debian,c=main,b=amd64
origin ftp.hosteurope.de
500 http://security.debian.org/debian-security buster/updates/non-free i386 Packages
release v=10,o=Debian,a=stable,n=buster,l=Debian-Security,c=non-free,b=i386
origin security.debian.org
500 http://security.debian.org/debian-security buster/updates/non-free amd64 Packages
release v=10,o=Debian,a=stable,n=buster,l=Debian-Security,c=non-free,b=amd64
origin security.debian.org
500 http://security.debian.org/debian-security buster/updates/main i386 Packages
release v=10,o=Debian,a=stable,n=buster,l=Debian-Security,c=main,b=i386
origin security.debian.org
500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
release v=10,o=Debian,a=stable,n=buster,l=Debian-Security,c=main,b=amd64
origin security.debian.org
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/contrib i386 Packages
release v=10.8,o=Debian,a=stable,n=buster,l=Debian,c=contrib,b=i386
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/contrib amd64 Packages
release v=10.8,o=Debian,a=stable,n=buster,l=Debian,c=contrib,b=amd64
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/non-free i386 Packages
release v=10.8,o=Debian,a=stable,n=buster,l=Debian,c=non-free,b=i386
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/non-free amd64 Packages
release v=10.8,o=Debian,a=stable,n=buster,l=Debian,c=non-free,b=amd64
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/main i386 Packages
release v=10.8,o=Debian,a=stable,n=buster,l=Debian,c=main,b=i386
origin ftp.hosteurope.de
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/main amd64 Packages
release v=10.8,o=Debian,a=stable,n=buster,l=Debian,c=main,b=amd64
origin ftp.hosteurope.de
Pinned packages:
openssl -> 1.1.1d-0+deb10u5 with priority 1000
openssl -> 1.1.1d-0+deb10u4 with priority 1000
libssl-dev -> 1.1.1d-0+deb10u5 with priority 1000
libssl-dev -> 1.1.1d-0+deb10u4 with priority 1000
libssl-doc -> 1.1.1d-0+deb10u5 with priority 1000
libssl-doc -> 1.1.1d-0+deb10u4 with priority 1000
libssl1.1 -> 1.1.1d-0+deb10u5 with priority 1000
libssl1.1 -> 1.1.1d-0+deb10u4 with priority 1000
解決策
@Louis Thompsonの答えに基づいて...
現在インストールされているパッケージは、実際にOndřej Surýが管理する非公式のPHPリポジトリで提供されています。
https://packages.sury.org/php/ https://packages.sury.org/php/dists/buster/main/debian-installer/binary-amd64/Packages
Debian のインストールを円滑に実行するために、このパッケージをダウングレードしました。これまで、SSL機能を使用したPHPインストールとPHPアプリケーションでは、すべてがうまく機能しています。
修正する
@William Turrellに感謝します。apt-listchanges
今後の変更に関する情報を入手するためにインストールしました。仕事がはるかに簡単になります。
答え1
https://www.debian.org/security/2021/dsa-4855
Debian Busterのopensslに関する他のパッケージ情報とともに、この情報は1.1.1dが現在安定版であることを示しています。 1.1.1j(gbp2578a0)を他の場所から入手しましたが、この重要なセキュリティパッチがないようです。
答え2
ルイス・トンプソンの答え1.1.1d-0+deb10u5 バージョンが何に該当し、その理由を説明しました。しなければならないダウングレードを受け入れます。しかし、「このパッケージはなぜダウングレードされますか?私は評価を下げるために何もしませんでした」という質問は解決されません。
apt
何も知らないコンテンツ1.1.1d-0+deb10u5がセキュリティの脆弱性を修正した可能性があり、現在インストールされているバージョンに脆弱性があるかどうかがわかります。apt
パッケージがダウングレードされるように構成されているため、ダウングレードすることが提案されました。apt
基本的にいいえダウングレードパッケージは提供されていますが、実際にDebianはダウングレードをサポートしていません。あなたに関する限り、
libssl-dev:
Installed: 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0
Candidate: 1.1.1d-0+deb10u5
Version table:
*** 1.1.1j-1+0~20210301.25+debian10~1.gbp2578a0 100
100 /var/lib/dpkg/status
1.1.1d-0+deb10u5 1000
500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
1.1.1d-0+deb10u4 1000
500 http://ftp.hosteurope.de/mirror/ftp.debian.org/debian buster/main amd64 Packages
OpenSSLパッケージのデフォルト以外の固定優先順位(具体的には1000())があることを示します1.1.1d-0+deb10u5 1000
。これが確認されましたapt policy
。
Pinned packages:
openssl -> 1.1.1d-0+deb10u5 with priority 1000
openssl -> 1.1.1d-0+deb10u4 with priority 1000
libssl-dev -> 1.1.1d-0+deb10u5 with priority 1000
libssl-dev -> 1.1.1d-0+deb10u4 with priority 1000
libssl-doc -> 1.1.1d-0+deb10u5 with priority 1000
libssl-doc -> 1.1.1d-0+deb10u4 with priority 1000
libssl1.1 -> 1.1.1d-0+deb10u5 with priority 1000
libssl1.1 -> 1.1.1d-0+deb10u4 with priority 1000
説明したようにman apt_preferences
これは、apt
現在インストールされているバージョンのピン優先順位が低いため、そのパッケージがダウングレードターゲットと見なされることを意味しますapt
。
ターゲットパッケージ(1.1.1d-0+deb10u5)がDebian 10リポジトリの最新バージョンであるという事実はこれには関係ありません。ダウングレードには固定優先順位のみが重要です。
答え3
ここに(残念ながらコメントに入れることができない他の答えに加えて)以下を実行したOndřejSurýの説明があります。https://deb.sury.org:
php-defaults (82) unstable; urgency=medium
* The custom src:openssl packages were introduced to upgrade the
cryptographic functions for PHP, Apache2 and NGINX, but the situation
have improved greatly since. Ubuntu 16.04 LTS will reach end-of-life
in April 2021 and it was the last distribution using OpenSSL 1.0.2.
Debian 9 Stretch LTS will reach end-of-life in June 2022 and it is
using OpenSSL 1.1.0 (which just means TLS 1.3).
* The php-common package now introduces custom apt_preferences
configuration in /etc/apt/preferences.d/php-common.pref that should
enforce downgrade of the src:openssl packages to the OpenSSL version
provided by the distribution. After this version of php-common is
installed, the next manual apt-get dist-upgrade run will downgrade the
OpenSSL version, but you are advised to check this manually if the
downgrade has happened.
-- Ondřej Surý <[email protected]> Thu, 04 Mar 2021 11:08:54 +0100
(インストールした場合は、画面または電子メールでこのメッセージが届きます。適切なリストの変更)