Bagaimana saya bisa tahu apakah CVE telah diperbaiki di repositori Ubuntu?

15

Hari ini beberapa buffer overflows di NTP diumumkan 1 , 2 . Sepertinya memperbarui sistem saya untuk memperbaiki masalah ini agar.

Bagaimana saya bisa mengetahui apakah mereka telah diperbaiki di repositori Ubuntu, sehingga jika saya menjalankan: 

sudo apt-get update
sudo apt-get upgrade

maka perbaikan akan diinstal dan kerentanan ditutup?

Sunting: Jawaban yang dipilih secara khusus menjawab pertanyaan tentang bagaimana mengidentifikasi apakah CVE yang diberikan telah diperbaiki atau tidak, "Apakah Ubuntu umumnya memposting pembaruan keamanan yang tepat waktu?" 3 tentu terkait tetapi tidak identik

apt  security 
Jxtps
sumber
Saya tidak yakin bagaimana Anda dapat mengetahui apakah perbaikan spesifik ada dalam sebuah paket, kecuali bahwa mungkin itu akan diumumkan di launchpad. Anda dapat mengetahui versi yang telah Anda instal, dan versi yang tersedia dengan menjalankanapt-cache policy ntp
Charles Green
Satu hal yang perlu dipertimbangkan adalah bahwa sistem desktop jauh lebih sedikit mengundang target daripada server. Kemungkinan besar Anda akan menunggu perbaikan muncul di repositori yang biasanya Anda gunakan.
Zeiss Ikon
@ Dobey: Tidak yakin itu penipuan - mereka bertanya bagaimana cara mencari tahu apakah itu sudah diperbaiki, bukan apakah itu diperbarui tepat waktu.
Thomas Ward
@Itch lihat komentar saya sebelumnya untuk dobey.
Thomas Ward
"System" = 10-20 VM pada AWS, demikian juga server.
Jxtps

Jawaban:

14

Apa yang Anda cari adalah Pemberitahuan Keamanan Ubuntu dan tidak jelas tercantum dalam repositori. Halaman ini adalah daftar Pemberitahuan Keamanan Ubuntu utama.

Sedangkan untuk masing-masing paket, pembaruan yang membahas perbaikan keamanan ada dalam repositori khusus mereka sendiri, -securitypocket. Menggunakan Synaptic, Anda dapat beralih ke tampilan "Asal", dan melihat paket di RELEASE-securitysaku.

Semua CVE juga terdaftar di pelacak CVE Tim Keamanan Ubuntu - dengan CVE yang dirujuk secara khusus di sini . Dalam kasus CVE-2014-9295 yang Anda referensi di sini, itu belum diperbaiki.

Setelah pembaruan tersedia, pembaruan akan terdeteksi sudo apt-get update; sudo apt-get upgradesetelah dirilis di repositori keamanan.

Thomas Ward
sumber
Pelacak CVE adalah pemenang, untuk referensi di masa mendatang mereka juga memiliki halaman pencarian
Jxtps
10

Walaupun jawaban yang diterima benar, saya sering menemukan saya bisa mengetahui info ini dengan melihat changelog suatu paket, dan itu lebih mudah daripada menjelajahi pelacak CVE atau daftar pemberitahuan keamanan. Sebagai contoh:

sudo apt-get update
apt-get changelog ntp

Output dari perintah di atas termasuk:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Yang jelas menunjukkan bahwa bug yang Anda sebutkan telah diperbaiki di repositori ubuntu. Anda kemudian dapat menjalankan:

sudo apt-get upgrade

untuk menarik ke bawah perbaikan.

bagaimanapun juga
sumber
0

Saya pikir Anda sedang berbicara tentang memeriksa changelog paket? Untuk melihat apa yang baru, perbaikan besar, dll? Synapticmemiliki cara mudah untuk mencoba & mengunduh changelogs.

Atau jika changelog tidak tersedia atau terlalu singkat, cara terbaik untuk mencatat versi yang tersedia, dan buka situs web pengembang & lihat perubahan yang diharapkan lebih mendetail.

Xen2050
sumber
Saya berharap untuk menghindari mengarungi changelogs untuk menentukan ini - CVE dampak tinggi merasa seperti mereka harus dipanggil pada halaman paket, tapi itu permintaan fitur untuk hari lain.
Jxtps
0

Jika Anda menjalankan perintah-perintah itu, Anda akan mendapatkan perbaikan apa pun yang ada di repositori - tetapi itu mungkin belum. Jika Anda mengaktifkan Pembaruan Pemberitahuan (widget baki), Anda akan mendapatkan pemberitahuan setiap kali ada pembaruan sistem atau keamanan (dan pembaruan keamanan akan dicatat seperti itu). Kemudian Anda akan mendapatkan tambalan segera setelah mereka keluar untuk Ubuntu, tanpa harus stres.

Zeiss Ikon
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.