Есть ли способ получить идентификаторы CVE или USN, которые нужно установить?

Это можно решить в два этапа:

• Найти пакеты, связанные с безопасностью, которые необходимо обновить: Я использую измененную версию update-notifier Скрипт apt-check, который принимает дополнительный переключатель: --security-package-names и выводит только связанные с безопасностью имена пакетов

• Поиск CVE для этих пакетов: ubuntu-cve-tracker Можно использовать проект на стартовой панели

Вот пошаговые инструкции:

Получение списка пакетов, связанных с безопасностью [ 1117]

У меня это как суть (пока я не создам запрос на слияние в соответствующем проекте в панели запуска). На данный момент его можно запустить следующим образом:

curl -s https://gist.githubusercontent.com/ahmadnazir/c2444d6b09fd7bb4963a13bc577d92a3/raw/0231b94a4e46abe0a5959de5f84feda76ad2eb9d/apt-check.py \
  | python /dev/stdin --security-package-names \
  | column -t -s , \
  | sort

Это дает вывод в формате: имя пакета , установленная версия и версия кандидата :

...
thunderbird                          1:38.6.0+build1-0ubuntu0.14.04.1     1:38.8.0+build1-0ubuntu0.14.04.1
thunderbird-gnome-support            1:38.6.0+build1-0ubuntu0.14.04.1     1:38.8.0+build1-0ubuntu0.14.04.1
thunderbird-locale-en                1:38.6.0+build1-0ubuntu0.14.04.1     1:38.8.0+build1-0ubuntu0.14.04.1
thunderbird-locale-en-us             1:38.6.0+build1-0ubuntu0.14.04.1     1:38.8.0+build1-0ubuntu0.14.04.1
tzdata                               2016b-0ubuntu0.14.04                 2016f-0ubuntu0.14.04
tzdata-java                          2016b-0ubuntu0.14.04                 2016f-0ubuntu0.14.04
vlc-data                             2.1.6-0ubuntu14.04.1                 2.1.6-0ubuntu14.04.2
vlc-nox                              2.1.6-0ubuntu14.04.1                 2.1.6-0ubuntu14.04.2
wget                                 1.15-1ubuntu1.14.04.1                1.15-1ubuntu1.14.04.2
...

Поиск CVE для пакетов

Ознакомьтесь с проектом трекера ubuntu cve на панели запуска:

bzr branch lp:ubuntu-cve-tracker

Давайте Допустим, вы хотите получить CVE для пакета wget, вы можете запустить следующий скрипт

cd ubuntu-cve-tracker
./scripts/pkg_status wget

. Это дает вывод, подобный следующему:

                                           precise         trusty      vivid/spo       vivid/uc           wily         xenial        yakkety
CVE-2016-4971 wget:                       released      released*        needed*            DNE       released       released       released [out of sync] SUPPORTED medium

Первый столбец в результат показывает CVE.

Примечание:

Убедитесь, что /etc/apt/sources.list имеет соответствующие источники для работы сценариев. Я изменил некоторые из сценариев, чтобы они работали только с верными, поэтому мне не нужно было это делать.

Не существует автоматической команды для получения идентификаторов CVE или USN, которые необходимо установить для данной ошибки.

Вам нужно будет либо прочитать список изменений для рассматриваемых пакетов, подписаться на уведомления USN / CVE или проверить страницу каждого пакета на Launchpad, чтобы увидеть, что имеется в списке изменений для данного пакета в данном выпуске.

(Нет команды, которую вы можете просто набрать, чтобы получить список.)