各位开发者:
由于CVE-2022-28737漏洞,shim组建受到了影响。且master分支已经从15.4升级到15.6版本修复了漏洞可能带来的影响。
其他分支(2203/2209)采用了backport的方式在15.4的基础上合入了修复补丁。

鉴于目前的情况,对于LTS分支(2203/2003)是否需要进行直接的版本升级,可以和开发者进行讨论。

目前2003采用shim-15 2203采用shim-15.4。
是否可以借此机会一同升级到15.6?
升级版本主要有以下好处:
  1. 直接版本升级,避免后续老版本CVE的遗漏和分析
  2. 与上游社区或发行版保持一致,跟踪CVE比较方便
  3. shim功能单一,升级简便影响小
麻烦大家可以分享对于此事的建议,可以在CVE的issue中进行讨论
https://gitee.com/src-openeuler/shim/issues/I5I5Q9?from=project-issue

谢谢大家

Chenxi