Я хочу узнать, какие CVE или USN идентификаторы применяются к обновлению безопасности, прежде чем делать их. Есть ли способ?
Это можно решить в два этапа:
Найти пакеты, связанные с безопасностью, которые необходимо обновить: Я использую измененную версию update-notifier
Скрипт apt-check
, который принимает дополнительный переключатель: --security-package-names
и выводит только связанные с безопасностью имена пакетов
Поиск CVE для этих пакетов: ubuntu-cve-tracker
Можно использовать проект на стартовой панели
Вот пошаговые инструкции:
Получение списка пакетов, связанных с безопасностью [ 1117]
У меня это как суть (пока я не создам запрос на слияние в соответствующем проекте в панели запуска). На данный момент его можно запустить следующим образом:
curl -s https://gist.githubusercontent.com/ahmadnazir/c2444d6b09fd7bb4963a13bc577d92a3/raw/0231b94a4e46abe0a5959de5f84feda76ad2eb9d/apt-check.py \
| python /dev/stdin --security-package-names \
| column -t -s , \
| sort
Это дает вывод в формате: имя пакета , установленная версия и версия кандидата :
...
thunderbird 1:38.6.0+build1-0ubuntu0.14.04.1 1:38.8.0+build1-0ubuntu0.14.04.1
thunderbird-gnome-support 1:38.6.0+build1-0ubuntu0.14.04.1 1:38.8.0+build1-0ubuntu0.14.04.1
thunderbird-locale-en 1:38.6.0+build1-0ubuntu0.14.04.1 1:38.8.0+build1-0ubuntu0.14.04.1
thunderbird-locale-en-us 1:38.6.0+build1-0ubuntu0.14.04.1 1:38.8.0+build1-0ubuntu0.14.04.1
tzdata 2016b-0ubuntu0.14.04 2016f-0ubuntu0.14.04
tzdata-java 2016b-0ubuntu0.14.04 2016f-0ubuntu0.14.04
vlc-data 2.1.6-0ubuntu14.04.1 2.1.6-0ubuntu14.04.2
vlc-nox 2.1.6-0ubuntu14.04.1 2.1.6-0ubuntu14.04.2
wget 1.15-1ubuntu1.14.04.1 1.15-1ubuntu1.14.04.2
...
Поиск CVE для пакетов
Ознакомьтесь с проектом трекера ubuntu cve на панели запуска:
bzr branch lp:ubuntu-cve-tracker
Давайте Допустим, вы хотите получить CVE для пакета wget
, вы можете запустить следующий скрипт
cd ubuntu-cve-tracker
./scripts/pkg_status wget
. Это дает вывод, подобный следующему:
precise trusty vivid/spo vivid/uc wily xenial yakkety
CVE-2016-4971 wget: released released* needed* DNE released released released [out of sync] SUPPORTED medium
Первый столбец в результат показывает CVE.
Примечание:
Убедитесь, что /etc/apt/sources.list
имеет соответствующие источники для работы сценариев. Я изменил некоторые из сценариев, чтобы они работали только с верными, поэтому мне не нужно было это делать.
Не существует автоматической команды для получения идентификаторов CVE или USN, которые необходимо установить для данной ошибки.
Вам нужно будет либо прочитать список изменений для рассматриваемых пакетов, подписаться на уведомления USN / CVE или проверить страницу каждого пакета на Launchpad, чтобы увидеть, что имеется в списке изменений для данного пакета в данном выпуске.
(Нет команды, которую вы можете просто набрать, чтобы получить список.)