Ubuntu обычно публикует своевременные обновления безопасности?

Конкретная проблема: пакет Oneiric nginx имеет версию 1.0.5-1, выпущенную в июле 2011 года в соответствии с changelog .

Недавняя уязвимость раскрытия памяти ( страница рекомендаций , CVE-2012-1180 , DSA-2434-1 ) не исправлена ​​в версии 1.0. 5-1. Если я не неправильно читаю страницу CVE Ubuntu, все версии Ubuntu, похоже, содержат уязвимый nginx.

  1. Это правда?

    Если так: я думал, что в Canonical была команда безопасности, которая активно работает над такими проблемами, поэтому я ожидал получить обновление безопасности в течение короткого времени. сроки (часы или дни) до apt-get update.

  2. Является ли это ожидание - что обновления моих пакетов достаточно, чтобы помешать моему серверу иметь известные уязвимости - как правило, неправильно?

  3. Если так: Что я должен сделать, чтобы обеспечить его безопасность? Чтение уведомлений о безопасности Ubuntu не помогло бы в этом случае, так как уязвимость nginx там никогда не размещалась.

32
задан 11 April 2012 в 06:18

4 ответа

Ubuntu в настоящее время разделен на четыре компонента: основной, ограниченный, вселенная и мультиверс. Пакеты в основном и ограниченном поддерживаются командой безопасности Ubuntu на протяжении всего жизненного цикла выпуска Ubuntu, в то время как пакеты в юниверсе и мультивселенной поддерживаются сообществом Ubuntu. См. FAQ команды безопасности для получения дополнительной информации.

Поскольку nginx входит в компонент Universe, он не получает обновлений от группы безопасности. Сообщество должно решить проблемы безопасности в этом пакете. См. здесь для точной процедуры .

Вы можете использовать Центр программного обеспечения или инструмент командной строки ubuntu-support-status, чтобы определить, какие пакеты официально поддерживаются и как долго.


Обновление из будущего : Nginx переходит на главную, поэтому получит поддержку от команды безопасности Ubuntu в этот момент. Если вы не уверены, подойдет ли ваша версия, просто посмотрите на apt-cache show nginx и найдите тег «Section». Когда это в Main, вы получаете поддержку Canonical.

0
ответ дан 11 April 2012 в 06:18

Пакет nginx в ppa для точного находится в Version 1.1.17-2 uploaded on 2012-03-19.

Если вам нужны патчи для CVE, которые все еще находятся в кандидате и не приняты, вы можете рассмотреть возможность добавления ppas .

Об этом конкретном пакете и ошибке здесь приведены некоторые заметки из трекера ошибок пакета .

0
ответ дан 11 April 2012 в 06:18

Для пакетов, которые находятся в дистрибутивах на основе Debian, таких как Ubuntu, исправления безопасности перенесены в текущую версию. Версии выпуска не обновляются, так как это может привести к несовместимым функциям. Вместо этого команда безопасности (или сопровождающий пакета) применит исправление безопасности для текущей версии или выпуска исправленной версии.

  1. Развернутая в настоящее время версия может быть уязвимой, поскольку она не поддерживается командой безопасности Ubuntu. Это не означает, что он уязвим, так как разработчик пакета мог его залатать. Проверьте changelog в каталоге /usr/share/doc/nginx, чтобы увидеть, было ли резервное копирование патча безопасности. Если нет, патч может быть запущен и доступен в тестовой версии.

  2. Вы правы, полагая, что поддержание вашего сервера в актуальном состоянии значительно сократит период использования небезопасного программного обеспечения. Существуют пакеты, которые можно настроить для автоматической загрузки и установки дополнительных обновлений. Они также могут уведомлять, какие исправления были установлены или готовы к установке.

  3. Для пакетов, которые не поддерживаются командой безопасности, вы можете обратить внимание на все нерешенные проблемы безопасности. Оцените риск, поскольку не все уязвимости могут использоваться во всех системах. Некоторые могут зависеть от конфигурации или требовать локального доступа. Другие могут быть не столь значительными без других проблем, например, использовать условие гонки, чтобы заменить файл рекордов игр.

0
ответ дан 11 April 2012 в 06:18

Пакеты внутри основного хранилища Ubuntu активно обновляются Canonical. (Чтобы быть частью установки по умолчанию, пакет должен находиться внутри main.)

Однако для таких пакетов, как nginx, которые находятся во «юниверсе», я не ожидал бы своевременных обновлений безопасности. Это потому, что эти пакеты поддерживаются добровольцами, а не Canonical. Было бы неразумно ожидать, что Canonical будет постоянно отслеживать десятки тысяч пакетов, существующих во вселенной.

0
ответ дан 11 April 2012 в 06:18

Другие вопросы по тегам:

Похожие вопросы: