У меня есть несколько серверов, работающих с Xenial (16.04 LTS). Я запустил инструмент сканирования безопасности (AWS Inspector), который показывает список незащищенных уязвимостей CVE на сервере. Многие из них относятся к binutils, например https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6323.html
Я могу вижу, что на той ссылке Canonical выше обновление пакета помечено как необходимое, однако я делаю:
sudo apt-get update
sudo apt-get upgrade --dry-run
Я не вижу патчей. Я недавно успешно выполнил обновление, так что ничего нового не получилось. Но binutils все еще вызывает предупреждение и имеет версию 2.26.1-1ubuntu1~16.04.8
.
Есть ли способ обновить binutils для исправления этих уязвимостей в Xenial? Или это ложная тревога?
В этом случае, "необходимый" НЕ означает, что "Мы загрузили исправленный пакет, и необходимо обновить теперь".
Вместо этого это означает, что "Этот патч должен все же быть применен Службой безопасности Ubuntu, но это находится в нашем списке ожидающих выполнения задач".
Можно перепроверить то использование простого apt-cache madison <packagename>
команда. Madison возвратит текущий пакет, доступный из репозиториев Ubuntu Вашего выпуска.
Например, вот то, что доступно в данный момент, я записал это в Гостеприимном (16.04):
binutils | 2.26-8ubuntu2 | xenial
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-security
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-updates
Вы видите что Ваша версия 2.26.1-1ubuntu1~16.04.8
новейшее доступное.
Большинство людей не должно устанавливать обновления безопасности путем проверки способного кэша и выполнения способных команд. Вы, конечно, можете, при необходимости это поддерживается. Но большинство людей в общем использовании должно использовать Необслуживаемое приложение Обновлений, которое является частью установки по умолчанию всех Настольных разновидностей Ubuntu и Сервера Ubuntu. Это проверит на новые обновления в - очаг безопасности ежедневно и установит их без любой суеты в фоновом режиме.
Если необходимо знать, когда конкретный пакет был в последний раз обновлен, и способные и Необслуживаемые Обновления регистрируют все действие в/var/log в easy-to-grep формате.
Одно примечание об этом конкретном CVE - Вы отметите, что Служба безопасности Ubuntu отметила приоритет 'низко'. Если Ваши аудиты продолжают бросать тот красный флаг, удостоверьтесь, что Ваш контрольный рецензент знает, что Вы отслеживаете его, но это - низкий приоритет. Если Вы знаете что-то об этом конкретном vuln, который Служба безопасности Ubuntu пропустила и чувствует, что она заслуживает более высокого приоритета, то свяжитесь со Службой безопасности и обсудите вопрос.
Служба безопасности приветствует волонтера, тестирующего и помощь. Если предложение помочь упаковать и тестирует низкоприоритетную фиксацию, оказывается, также очищает Ваши аудиты, тем лучше. Если Вам любопытно на предмет того, как Служба безопасности работает, что она делает, и как она располагает по приоритетам работу, Вы могли бы найти их освещение подкаста.