Jak mogę sprawdzić, czy w repozytoriach Ubuntu naprawiono CVE?

15

Dzisiaj ogłoszono kilka przepełnień bufora w NTP 1 , 2 . Wygląda na to, że aktualizacja mojego systemu w celu rozwiązania tych problemów jest w porządku.

Jak mogę się dowiedzieć, czy zostały naprawione w repozytoriach Ubuntu, na przykład, jeśli miałbym uruchomić: 

sudo apt-get update
sudo apt-get upgrade

wtedy poprawka zostanie zainstalowana, a luka zostanie zamknięta?

Edycja: Wybrana odpowiedź w szczególności odnosi się do pytania, jak ustalić, czy dana CVE została naprawiona, czy nie: „Czy Ubuntu zasadniczo publikuje aktualne aktualizacje zabezpieczeń?” 3 jest z pewnością powiązane, ale nie identyczne

apt  security 
Jxtps
źródło
Nie jestem pewien, jak rozpoznać, czy konkretna poprawka znajduje się w pakiecie, z tym wyjątkiem, że może zostanie ogłoszona na starterze. Możesz powiedzieć zarówno wersję, którą zainstalowałeś, jak i wersję dostępną po uruchomieniuapt-cache policy ntp
Charles Green
Inną rzeczą do rozważenia jest to, że systemy komputerowe są znacznie mniej zachęcającymi celami niż serwery. Najprawdopodobniej czekasz, aż poprawka pojawi się w repozytoriach, których zwykle używasz.
Zeiss Ikon,
@dobey: Nie jestem pewien, czy to duplikat - pytają, jak dowiedzieć się, czy to naprawiono, a nie czy jest terminowo aktualizowany.
Thomas Ward
@Mitch zobacz mój poprzedni komentarz do dobey.
Thomas Ward
„System” = 10-20 maszyn wirtualnych na AWS, więc serwery.
Jxtps,

Odpowiedzi:

14

To, czego szukasz, to powiadomienia bezpieczeństwa Ubuntu i nie są one wyraźnie wymienione w repozytoriach. Ta strona jest główną listą powiadomień bezpieczeństwa Ubuntu.

Jeśli chodzi o poszczególne pakiety, aktualizacje dotyczące poprawek zabezpieczeń znajdują się w ich własnym specjalnym repozytorium - -securitykieszeni. Korzystając z Synaptic, możesz przejść do widoku „Origin” i zobaczyć paczki w RELEASE-securitykieszeni.

Wszystkie CVE są również wymienione w module śledzącym CVE Ubuntu Security Team - z Twoim konkretnym CVE tutaj . W przypadku CVE-2014-9295, do którego się tu odwołujesz, nie został on jeszcze naprawiony.

Gdy aktualizacja będzie dostępna, zostanie wykryta sudo apt-get update; sudo apt-get upgradepo wydaniu w repozytorium zabezpieczeń.

Thomas Ward
źródło
Moduł śledzący CVE jest zwycięzcą, do wglądu mają także stronę wyszukiwania
Jxtps,
10

Chociaż zaakceptowana odpowiedź jest prawidłowa, często okazuje się, że jestem w stanie znaleźć te informacje, przeglądając dziennik zmian pakietu, a to jest łatwiejsze niż przeszukiwanie modułów śledzenia CVE lub listy powiadomień bezpieczeństwa. Na przykład:

sudo apt-get update
apt-get changelog ntp

Dane wyjściowe powyższego polecenia obejmują:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Co wyraźnie pokazuje, że wspomniane błędy zostały naprawione w repozytoriach ubuntu. Następnie możesz uruchomić:

sudo apt-get upgrade

usunąć poprawkę.

ralfthewise
źródło
0

Myślę, że mówisz o sprawdzeniu dziennika zmian pakietu? Aby zobaczyć, co nowego, główne duże poprawki itp.? Synapticma łatwy sposób na wypróbowanie i pobranie dzienników zmian.

Lub jeśli dziennik zmian nie jest dostępny lub jest zbyt krótki, najlepszym sposobem może być zanotowanie dostępnej wersji i przejście do strony programisty i zobaczenie, mam nadzieję, bardziej szczegółowych zmian.

Xen2050
źródło
Miałem nadzieję, że uniknę brodzenia przez dzienniki zmian, aby to ustalić - CVE o dużym wpływie wydają się być wywoływane na stronach pakietu, ale jest to prośba o funkcję na kolejny dzień.
Jxtps,
0

Jeśli uruchomisz te polecenia, otrzymasz poprawki, które znajdują się w repozytoriach - ale mogą jeszcze nie być. Jeśli masz włączony Powiadomienia o aktualizacji (widget zasobnika), otrzymasz powiadomienie za każdym razem, gdy pojawią się aktualizacje systemu lub zabezpieczeń (a aktualizacje zabezpieczeń zostaną oznaczone jako takie). Otrzymasz łatki, gdy tylko będą dostępne dla Ubuntu, bez stresowania się nimi.

Zeiss Ikon
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.