Linux开源组件升级指导

在计算机科学领域中，“开源”是一个特殊的词汇，代表的是一种允许免费使用、改进和共享代码的软件开发模式。

Linux开源项目正是基于这个特殊的模式，通过共享源代码，大力促进了Linux操作系统的发展与进步。Linux诞生于1991年，那时Linus Torvalds才21岁。他当时只是想为自己开发一款可用于编程的免费操作系统。随着时间的推移，Linux逐渐流行，成为世界上最出色的操作系统之一。

1. Linux开源组件

Linux是一个开源操作系统，系统中的开源项目是极其庞大而复杂的，但是这些开源项目为开发者和用户带来了极大的便利。Linux有很多开源组件可供使用。以下是一些常见的 Linux 开源组件：

1. GNU Core Utilities（核心工具集）：包括命令行工具如ls、cp、mv、rm等，提供了基本的文件和进程管理功能。
2. Bash（Bourne Again SHell）：是一个常用的命令行解释器和脚本语言，提供了交互式的命令行界面。
3. GCC（GNU Compiler Collection）：是一套开源的编译器工具链，包含了 C、C++、Fortran 等多种编程语言的编译器。
4. Glibc（GNU C Library）：是 GNU 项目的标准 C 库，提供了基本的系统调用接口和库函数。
5. Linux Kernel（Linux 内核）：是 Linux 操作系统的核心部分，负责底层硬件管理和系统资源调度。
6. X Window System（X11）：是一个窗口系统协议和运行时环境，为 Linux 提供了图形用户界面（GUI）的支持。
7. Apache HTTP Server：是一个流行的开源 Web 服务器软件，常用于搭建网站和应用服务。
8. MySQL 和 PostgreSQL：是两个常用的开源关系型数据库管理系统（RDBMS），提供了数据存储和查询功能。
9. OpenSSH：是一个用于安全远程登录和文件传输的开源工具，提供了 SSH 协议的实现。
10. OpenSSL：是一个开源的加密库，提供了各种加密算法和安全协议的实现。

除上述组件外，还有许多其他的开源组件可用于 Linux 系统，用于各种不同的用途，如网络通信、图形界面开发、数据分析等。这些开源组件为 Linux 提供了强大的功能和灵活性，并且能够根据需求进行定制和扩展。

3UK Penetration Test通常会检测当前开源组件是否为最新，该版本是否有公开漏洞，若版本不是最新或存在公开漏洞，则需要对其进行升级或修复，下文以curl为例主要讲解如何去升级相关组件。

2. CURL

CURL（客户端URL）是一个开放源代码的命令行工具，也是一个跨平台的库（libcurl），用于在服务器之间传输数据，并分发给几乎所有新的操作系统。CURL编程用于需要通过Internet协议发送或接收数据的几乎任何地方。

CURL支持几乎所有的互联网协议（DICT，FILE，FTP，FTPS，GOPHER，HTTP，HTTPS，IMAP，IMAPS，LDAP，LDAPS，MQTT，POP3，POP3S，RTMP，RTMPS，RTSP，SCP，SFTP，SMB，SMBS，SMTP ，SMTPS，TELNET和TFTP）。

CURL旨在通过互联网协议传输数据。其他所有内容均不在其范围内。它甚至不处理传输的数据，仅执行传输流程。

CURL可用于调试。例如使用“ curl -v https://oxylabs.io ”可以显示一个连接请求的详细输出，包括用户代理，握手数据，端口等详细信息。

2.1 版本确认

sdx12使用的是Yocto构建框架，因此我们可以直接在poky目录下找到bitbake编译脚本，来确认当前使用的curl版本，curl的bb文件在sdx12-ap\poky\meta\recipes-support\curl下

~/sdx12-ap/poky/meta/recipes-support/curl$ ls
curl  curl_7.61.0.bb

通过确认当前使用的是curl 7.61.0版本（有时目录下会有多个bb文件，但通常bitbake编译会使用高版本），打开bb文件我们可以看到该版本会打很多CVE patch，说明它已经有多个已修复的公开漏洞：

我们也可以通过上述文件中的SRC_URI = http://curl.haxx.se/download/curl-${PV}.tar.bz2信息找到curl源码下载网站，去查询当前最新的curl版本是哪个：