如何更新/修补我的libssh？

Question

运行Ubuntu16.04-在听说libssh的安全问题后，我正在尝试升级包。

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

看来我在运行libssh 0.6.3-4.3？

dpkg -l | grep libssh
ii  libssh-gcrypt-4:amd64                 0.6.3-4.3                                  amd64        tiny C SSH library (gcrypt flavor)

由于我不能进行简单的apt更新& apt升级，因为它会破坏我的一些软件，所以我只能使用

apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | awk -F " " {'print $2'} | xargs apt-get install

找到了这里。

这似乎清除了我的安全更新待定列表-但是我的libssh在重新启动后仍然是相同的版本。

有没有可能更新还没有被推迟？

感谢您的阅读！

Answer 1

Ubuntu安全小组维护一个CVEs及其补丁的数据库。

您可以自己查看特定CVE的修补程序是否已被推送：https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html

Ubuntu的Debian (非快照)存储库使用快照方法。发布后，大多数软件包将不会收到新的上游版本，但将收到安全补丁和高优先级的错误修复。这可能是不同的行为，上游网站让你相信。

例子：libssh 0.6.3-4.3在Ubuntu16.04的回复中。Ubuntu不会将软件包更新为0.7.6。Ubuntu将修补秃鹫，并将包更新为“0.6.3-4.3Ubuntu0”

编辑:我关系很好。他们确实将版本更新为0.6.3-4.3ubuntu0.1。

当然，快照的工作方式不同。

Answer 2

有一个最新情况：

libssh (0.6.3-4.3ubuntu0.1)异种安全性；urgency=medium

• 安全更新:身份验证绕过漏洞
  • debian/修补程序/CVE-2018-10933-*.修补程序:添加上游补丁以纠正该问题。
  • CVE-2018-10933