Как обновить binutils, чтобы получать исправления безопасности в Ubuntu Xenial

Question 1

У меня есть несколько серверов, работающих с Xenial (16.04 LTS). Я запустил инструмент сканирования безопасности (AWS Inspector), который показывает список незащищенных уязвимостей CVE на сервере. Многие из них относятся к binutils, например https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6323.html

Я могу вижу, что на той ссылке Canonical выше обновление пакета помечено как необходимое, однако я делаю:

sudo apt-get update
sudo apt-get upgrade --dry-run

Я не вижу патчей. Я недавно успешно выполнил обновление, так что ничего нового не получилось. Но binutils все еще вызывает предупреждение и имеет версию 2.26.1-1ubuntu1~16.04.8.

Есть ли способ обновить binutils для исправления этих уязвимостей в Xenial? Или это ложная тревога?

Question 2

В этом случае, "необходимый" НЕ означает, что "Мы загрузили исправленный пакет, и необходимо обновить теперь".

Вместо этого это означает, что "Этот патч должен все же быть применен Службой безопасности Ubuntu, но это находится в нашем списке ожидающих выполнения задач".

Можно перепроверить то использование простого apt-cache madison <packagename> команда. Madison возвратит текущий пакет, доступный из репозиториев Ubuntu Вашего выпуска.

Например, вот то, что доступно в данный момент, я записал это в Гостеприимном (16.04):

binutils | 2.26-8ubuntu2             | xenial
binutils | 2.26.1-1ubuntu1~16.04.8   | xenial-security
binutils | 2.26.1-1ubuntu1~16.04.8   | xenial-updates

Вы видите что Ваша версия 2.26.1-1ubuntu1~16.04.8 новейшее доступное.

Большинство людей не должно устанавливать обновления безопасности путем проверки способного кэша и выполнения способных команд. Вы, конечно, можете, при необходимости это поддерживается. Но большинство людей в общем использовании должно использовать Необслуживаемое приложение Обновлений, которое является частью установки по умолчанию всех Настольных разновидностей Ubuntu и Сервера Ubuntu. Это проверит на новые обновления в - очаг безопасности ежедневно и установит их без любой суеты в фоновом режиме.

Если необходимо знать, когда конкретный пакет был в последний раз обновлен, и способные и Необслуживаемые Обновления регистрируют все действие в/var/log в easy-to-grep формате.

Одно примечание об этом конкретном CVE - Вы отметите, что Служба безопасности Ubuntu отметила приоритет 'низко'. Если Ваши аудиты продолжают бросать тот красный флаг, удостоверьтесь, что Ваш контрольный рецензент знает, что Вы отслеживаете его, но это - низкий приоритет. Если Вы знаете что-то об этом конкретном vuln, который Служба безопасности Ubuntu пропустила и чувствует, что она заслуживает более высокого приоритета, то свяжитесь со Службой безопасности и обсудите вопрос.

Служба безопасности приветствует волонтера, тестирующего и помощь. Если предложение помочь упаковать и тестирует низкоприоритетную фиксацию, оказывается, также очищает Ваши аудиты, тем лучше. Если Вам любопытно на предмет того, как Служба безопасности работает, что она делает, и как она располагает по приоритетам работу, Вы могли бы найти их освещение подкаста.

user535733 · Accepted Answer · 1 December 2019 в 16:49

В этом случае, "необходимый" НЕ означает, что "Мы загрузили исправленный пакет, и необходимо обновить теперь".

Вместо этого это означает, что "Этот патч должен все же быть применен Службой безопасности Ubuntu, но это находится в нашем списке ожидающих выполнения задач".

Можно перепроверить то использование простого apt-cache madison <packagename> команда. Madison возвратит текущий пакет, доступный из репозиториев Ubuntu Вашего выпуска.

Например, вот то, что доступно в данный момент, я записал это в Гостеприимном (16.04):

binutils | 2.26-8ubuntu2             | xenial
binutils | 2.26.1-1ubuntu1~16.04.8   | xenial-security
binutils | 2.26.1-1ubuntu1~16.04.8   | xenial-updates

Вы видите что Ваша версия 2.26.1-1ubuntu1~16.04.8 новейшее доступное.

Большинство людей не должно устанавливать обновления безопасности путем проверки способного кэша и выполнения способных команд. Вы, конечно, можете, при необходимости это поддерживается. Но большинство людей в общем использовании должно использовать Необслуживаемое приложение Обновлений, которое является частью установки по умолчанию всех Настольных разновидностей Ubuntu и Сервера Ubuntu. Это проверит на новые обновления в - очаг безопасности ежедневно и установит их без любой суеты в фоновом режиме.

Если необходимо знать, когда конкретный пакет был в последний раз обновлен, и способные и Необслуживаемые Обновления регистрируют все действие в/var/log в easy-to-grep формате.

Одно примечание об этом конкретном CVE - Вы отметите, что Служба безопасности Ubuntu отметила приоритет 'низко'. Если Ваши аудиты продолжают бросать тот красный флаг, удостоверьтесь, что Ваш контрольный рецензент знает, что Вы отслеживаете его, но это - низкий приоритет. Если Вы знаете что-то об этом конкретном vuln, который Служба безопасности Ubuntu пропустила и чувствует, что она заслуживает более высокого приоритета, то свяжитесь со Службой безопасности и обсудите вопрос.

Служба безопасности приветствует волонтера, тестирующего и помощь. Если предложение помочь упаковать и тестирует низкоприоритетную фиксацию, оказывается, также очищает Ваши аудиты, тем лучше. Если Вам любопытно на предмет того, как Служба безопасности работает, что она делает, и как она располагает по приоритетам работу, Вы могли бы найти их освещение подкаста.

Как обновить binutils, чтобы получать исправления безопасности в Ubuntu Xenial

1 ответ

Другие вопросы по тегам:

Похожие вопросы: