Masalah nyata: Paket Oneiric nginx berada di versi 1.0.5-1, dirilis pada Juli 2011 menurut changelog .
Kerentanan pengungkapan memori terbaru ( halaman penasihat , CVE-2012-1180 , DSA-2434-1 ) tidak diperbaiki di 1.0.5-1. Jika saya tidak salah membaca halaman CVE Ubuntu, semua versi Ubuntu sepertinya mengirimkan nginx yang rentan.
Apakah ini benar?
Jika demikian: Saya pikir ada tim keamanan di Canonical yang aktif menangani masalah-masalah seperti ini, jadi saya berharap untuk mendapatkan pembaruan keamanan dalam jangka waktu singkat (jam atau hari)
apt-get update
.Apakah harapan ini - bahwa menjaga paket-paket saya mutakhir sudah cukup untuk menghentikan server saya dari memiliki kerentanan yang diketahui - umumnya salah?
Jika demikian: Apa yang harus saya lakukan agar tetap aman? Membaca pemberitahuan keamanan Ubuntu tidak akan membantu dalam kasus ini, karena kerentanan nginx tidak pernah diposting di sana.