Обновление OpenSSL 3.0.10 в Ubuntu 22.04.3

Пожалуйста, не делай ничего, о чем потом пожалеешь. Давайте пройдемся по этим CVE и посмотрим, о чем они:

CVE-2023-3817 и CVE-2023-3446.

Опубликовано: 31/19 июля 2023 г.

Краткое описание проблемы: Проверка слишком длинных ключей или параметров DH может выполняться очень медленно.
...
Приложение, которое вызывает DH_check() и предоставляет ключ или параметры, полученные из ненадежного источника, может быть уязвимо для атаки типа «отказ в обслуживании».

CVE-2023-2975

Опубликовано: 14 июля 2023 г.

Краткое описание проблемы: Реализация шифрования AES-SIV содержит ошибку, из-за которой она игнорирует пустые связанные записи данных, которые, как следствие, не проходят проверку подлинности.
...
Поскольку эта проблема не влияет на аутентификацию непустых связанных данных, и мы ожидаем, что приложение будет редко использовать пустые записи связанных данных, это квалифицируется как проблема низкой серьезности.

Первые два (CVE-2023-3817 и CVE-2023-3446) вызывают длительное время ответа при определенных условиях (что теоретически может привести к DoS-ситуации), а последний (CVE-2023-2975) приводит к появлению неаутентифицированных пустых данных . .

Всем этим CVE присвоен низкий уровень серьезности, что означает, что они получат исправление, когда команда безопасности Ubuntu сочтет, что это может вписаться в график выпусков.

Если вы считаете, что можете лучше оценить CVE, чем команда безопасности Ubuntu, вы, конечно, можете скомпилировать новую версию библиотеки самостоятельно, но в этом случае вам также придется поддерживать ее для себя в дальнейшем.

Большинству пользователей в этих вопросах лучше довериться команде безопасности Ubuntu.