openssl 1.1.1xの現在のセキュリティ問題のため、ソースから(Ubuntu)システムをアップグレードする必要があります。適切な場合にのみ、最新のopenssl(1.1.1f)が最新であることがわかるからです。
修正する CVE-2022-0778
sudo apt update / upgradeを実行した後でも、opensslはまだバージョン1.1.1fにあり、これは少なくともUbuntu 20.04では脆弱です。
答え1
ルートとして:(またはsudoを使用)
$ sudo su
# cd /usr/src
# wget https://www.openssl.org/source/openssl-3.0.2.tar.gz
# tar zxvf openssl-3.0.2.tar.gz
# cd openssl-3.0.2
# ./Configure
# make
# make install
以前のバージョンのOpenSSLがインストールされている場合は、次のことを行う必要があります。
# cd /usr/lib/ssl
# unlink openssl.cnf
# ln -s /usr/local/ssl/openssl.cnf openssl.cnf
# ldconfig
# openssl version
OpenSSL 3.0.2が表示されたら成功です。
それ以外の場合はopensslが見つからないか、他のエラーが発生した場合
x86_64 アーキテクチャを使用する場合
# ldconfig /usr/local/lib64
答え2
しかし、UbuntuのOpenSSLバージョン以前のバージョンでは、既知のセキュリティ問題に対する修正を含むようにパッチが適用されました。
たとえば、20.04(最新のLTS)では、次のようになります。
openssl (1.1.1f-1ubuntu2.12) focal-security; urgency=medium
* SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
- debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
crypto/bn/bn_sqrt.c.
- debian/patches/CVE-2022-0778-2.patch: add documentation of
BN_mod_sqrt() in doc/man3/BN_add.pod.
- debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
- CVE-2022-0778
21.10(最新バージョン):
openssl (1.1.1l-1ubuntu1.2) impish-security; urgency=medium
* SECURITY UPDATE: Infinite loop in BN_mod_sqrt()
- debian/patches/CVE-2022-0778-1.patch: fix infinite loop in
crypto/bn/bn_sqrt.c.
- debian/patches/CVE-2022-0778-2.patch: add documentation of
BN_mod_sqrt() in doc/man3/BN_add.pod.
- debian/patches/CVE-2022-0778-3.patch: add a negative testcase for
BN_mod_sqrt in test/bntest.c, test/recipes/10-test_bn_data/bnmod.txt.
- CVE-2022-0778
また、見ることができます該当するセキュリティ情報。
サポートされているUbuntu(および他のディストリビューション)バージョンでは、アップデートを引き続きインストールする限り、セキュリティ上の問題を解決するためにソフトウェアを直接構築する必要はありません。