为什么焦点中的内核更新不再被归类为“安全更新”？

Question

升级到焦点后，我注意到内核更新显示在GUI中的“其他更新”下，而不是“安全更新”下。这可能导致延迟通知关键安全修复，因为这些更新通常包括CVE缓解。

在“其他更新”下使用内核更新的GUI更新通知的屏幕截图

apt list --upgradable似乎暗示这些更新不再是focal-security存储库的一部分？为什么？这是否可以通过配置来恢复之前的行为？

~$ apt list --upgradable
Listing... Done
firefox-locale-de/focal-updates,focal-security 112.0.2+build1-0ubuntu0.20.04.1 amd64 [upgradable from: 112.0.1+build1-0ubuntu0.20.04.1]
firefox-locale-en/focal-updates,focal-security 112.0.2+build1-0ubuntu0.20.04.1 amd64 [upgradable from: 112.0.1+build1-0ubuntu0.20.04.1]
firefox/focal-updates,focal-security 112.0.2+build1-0ubuntu0.20.04.1 amd64 [upgradable from: 112.0.1+build1-0ubuntu0.20.04.1]
linux-generic/focal-updates 5.4.0.148.146 amd64 [upgradable from: 5.4.0.147.145]
linux-headers-generic/focal-updates 5.4.0.148.146 amd64 [upgradable from: 5.4.0.147.145]
linux-image-generic/focal-updates 5.4.0.148.146 amd64 [upgradable from: 5.4.0.147.145]
linux-libc-dev/focal-updates 5.4.0-148.165 amd64 [upgradable from: 5.4.0-147.164]
tzdata/focal-updates,focal-updates 2023c-0ubuntu0.20.04.1 all [upgradable from: 2023c-0ubuntu0.20.04.0]


~$ cat /etc/apt/sources.list
###### Ubuntu Main Repos
deb http://de.archive.ubuntu.com/ubuntu focal main restricted universe multiverse

###### Ubuntu Update Repos
deb http://de.archive.ubuntu.com/ubuntu focal-updates main restricted universe multiverse
deb http://de.archive.ubuntu.com/ubuntu focal-security main restricted universe multiverse

###### Ubuntu Partner Repo
deb http://archive.canonical.com/ubuntu focal partner


/etc/update-manager$ grep -r . *
meta-release:[METARELEASE]
meta-release:URI = https://changelogs.ubuntu.com/meta-release
meta-release:URI_LTS = https://changelogs.ubuntu.com/meta-release-lts
meta-release:URI_UNSTABLE_POSTFIX = -development
meta-release:URI_PROPOSED_POSTFIX = -proposed

release-upgrades:[DEFAULT]
release-upgrades:Prompt=lts

release-upgrades.d/ubuntu-advantage-upgrades.cfg:[Sources]
release-upgrades.d/ubuntu-advantage-upgrades.cfg:Pockets=security,updates,proposed,backports,infra-security,infra-updates,apps-security,apps-updates
release-upgrades.d/ubuntu-advantage-upgrades.cfg:[Distro]
release-upgrades.d/ubuntu-advantage-upgrades.cfg:PostInstallScripts=./xorg_fix_proprietary.py, /usr/lib/ubuntu-advantage/upgrade_lts_contract.py

release-upgrades.d/allow-third-party.cfg:[Sources]
release-upgrades.d/allow-third-party.cfg:AllowThirdParty = yes

Answer 1

Ubuntu安全小组还没有完成这个包的工作。然后它就会出现在安全回购中。

您所包含的图像有一个发射台错误编号。该bug显示了此CVE缓解的工作流程。

从今天起，工作流就是这样说的：

Answer 2

经过一些研究后，这似乎会因内核更新的类型而有所不同。我最近安装了linux-image-5.15.0-71-generic作为内核更新，并获得以下信息：

$ apt policy linux-image-5.15.0-71-generic
linux-image-5.15.0-71-generic:
  Installed: 5.15.0-71.78
  Candidate: 5.15.0-71.78
  Version table:
 *** 5.15.0-71.78 500
        500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu jammy-security/main amd64 Packages
        100 /var/lib/dpkg/status

因此，很明显，这个内核更新还包括安全补丁(CVEs)，因为它是jammy-updates和jammy-security的一部分。

但是，如果不是这样，那么我将假设内核更新只添加到jammy-updates存储库中。如果更新主要包含错误修复或其他不直接与安全相关的支持特性(没有CVEs)，情况就是如此。