Buildteam

buildteam@openeuler.org

December 2021

1 participants
1 discussions

我们需要的openssl-1.1.1l.rpm您们没有提供，反而悄悄在1.1.1f.rpm中解决。匪夷所思啊！
by lijunping＠itownet.cn 14 Dec '21

14 Dec '21

前几天安装了openEuler21.09，看到其中的openssl版本是1.1.1f 。我下载了https://repo.openeuler.org/openEuler-21.09/source/Packages/openssl-1.1.… 的rpm包。结果我有了惊奇的发现。例如，CVE-2021-3711、CVE-2021-3712这两个漏洞，我百度得到的结果都说，openssl-1.1.1l解决了这两个bug，而openssl-1.1.1~openssl-1.1.1k都受到影响。而我在您们的openssl-1.1.1f-7.oe1.src.rpm的openssl.spec发现，您们已经解决了这两个bug，可您们生成的rpm包依然是1.1.1f。 Patch13: CVE-2021-3711-0001-Check-the-plaintext-buffer-is-large-enough-when-decr.patch Patch14: CVE-2021-3711-0002-Correctly-calculate-the-length-of-SM2-plaintext-give.patch Patch15: CVE-2021-3711-0003-Extend-tests-for-SM2-decryption.patch Patch16: CVE-2021-3712-0001-Fix-a-read-buffer-overrun-in-X509_aux_print.patch Patch17: CVE-2021-3712-0002-Fix-EC_GROUP_new_from_ecparameters-to-check-the-base.patch 对于普通用户、对于漏洞检查工具来说，看到opensl-1.1.1f，必然认为这两个漏洞需要解决，需要升级，我们怎么可能去查看openssl-1.1.1f-src.rpm中的具体内容？可是我们需要的openssl-1.1.1l.rpm您们没有提供，反而悄悄在1.1.1f.rpm中解决。匪夷所思啊！希望您们及时生成最新版本的rpm包，以免让用户困扰。感谢您们的工作。李军平运营服务中心北京信城通数码科技有限公司地址：北京市丰台区南西环西路188号总部基地七区15号楼（100070）手机：13601199736 电话：010-82261547 邮箱：lijunping(a)itownet.cn 网址：http://www.itownet.com

1 0