Как я могу сказать, был ли CVE зафиксирован в репозиториях Ubuntu?
Сегодня о нескольких переполнении буфера в NTP объявили 1, 2. Похоже, что обновление моей системы для устранения этих проблем в порядке.
Как может я узнавать, были ли они зафиксированы в репозиториях Ubuntu, таких это, если я должен был работать:
sudo apt-get update
sudo apt-get upgrade
затем фиксация установить и закрытая уязвимость?
Править: Выбранный ответ конкретно рассматривает вопрос того, как определить, был ли данный CVE зафиксирован или нет, "Ubuntu обычно отправляет своевременные обновления системы защиты?" 3, конечно, связан, но не идентичный
4 ответа
То, что вы ищете, - это уведомления безопасности Ubuntu, и они явно не перечислены в репозиториях. Эта страница является основным списком уведомлений безопасности Ubuntu.
Что касается отдельных пакетов, обновления, которые касаются исправлений безопасности, находятся в их собственном специальном репозитории, кармане -security . Используя Synaptic, вы можете переключиться в представление «Origin» и увидеть пакеты в кармане RELEASE-security .
Все CVE также перечислены в трекере CVE Ubuntu Security Team - с вашей конкретно упомянутой CVE здесь . В случае с CVE-2014-9295, на которую вы ссылаетесь здесь, она еще не исправлена.
Как только обновление станет доступным, оно будет обнаружено sudo apt-get update; sudo apt-get upgrade после выпуска в репозиторий безопасности.
Несмотря на то, что принятый ответ верен, я часто обнаруживаю, что могу узнать эту информацию, просмотрев журнал изменений пакета, и это проще, чем просматривать трекеры CVE или список уведомлений безопасности. Например:
sudo apt-get update
apt-get changelog ntp
Результат выполнения приведенной выше команды включает:
...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium
* SECURITY UPDATE: weak default key in config_auth()
- debian/patches/CVE-2014-9293.patch: use openssl for random key in
ntpd/ntp_config.c, ntpd/ntpd.c.
- CVE-2014-9293
* SECURITY UPDATE: non-cryptographic random number generator with weak
seed used by ntp-keygen to generate symmetric keys
- debian/patches/CVE-2014-9294.patch: use openssl for random key in
include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
- CVE-2014-9294
* SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
- debian/patches/CVE-2014-9295.patch: check lengths in
ntpd/ntp_control.c, ntpd/ntp_crypto.c.
- CVE-2014-9295
* SECURITY UPDATE: missing return on error in receive()
- debian/patches/CVE-2015-9296.patch: add missing return in
ntpd/ntp_proto.c.
- CVE-2014-9296
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Sat, 20 Dec 2014 05:47:10 -0500
...
Это ясно показывает, что упомянутые вами ошибки были исправлены в репозиториях ubuntu. Затем вы можете запустить:
sudo apt-get upgrade
, чтобы загрузить исправление.
Я думаю, вы говорите о проверке журнала изменений пакета? Чтобы узнать, что нового, серьезные исправления и т. Д.? Synaptic имеет простой способ попробовать и загрузить журналы изменений.
Или, если журнал изменений недоступен или слишком краток, лучший способ - отметить доступную версию и перейти на веб-сайт разработчика и, надеюсь, увидим более подробные изменения.
Если вы запустите эти команды, вы получите все исправления , которые есть в репозиториях , но их может еще не быть. Если у вас включен модуль уведомления об обновлениях (виджет на панели задач), вы будете получать уведомление всякий раз, когда есть обновления системы или безопасности (и обновления безопасности будут отмечены как таковые). Тогда вы получите патчи, как только они выйдут для Ubuntu, и вам не придется беспокоиться о них.