Ubuntu pubblica generalmente aggiornamenti di sicurezza tempestivi?

Problema Calcestruzzo: Il pacchetto di nginx Oneiric è alla versione 1.0.5-1, pubblicato nel luglio 2011 secondo il changelog .

La recente vulnerabilità di divulgazione della memoria ( pagina di avviso , CVE-2012-1180 , DSA-2434-1 ) non è stata risolta in 1.0.5-1. Se non sto leggendo male la pagina CVE di Ubuntu, tutte le versioni di Ubuntu sembrano spedire un nginx vulnerabile.

1. È vero?

   In tal caso: ho pensato che ci fosse un team di sicurezza in Canonical che stava attivamente lavorando su problemi come questo, quindi mi aspettavo di ottenere un aggiornamento della sicurezza entro un breve periodo (ore o giorni) apt-get update.

2. Questa aspettativa - che mantenere i miei pacchetti aggiornati è sufficiente per impedire al mio server di conoscere vulnerabilità - è generalmente sbagliata?

3. In tal caso: cosa devo fare per proteggerlo? La lettura degli avvisi di sicurezza di Ubuntu non avrebbe aiutato in questo caso, poiché la vulnerabilità di nginx non è mai stata pubblicata lì.

Ubuntu è attualmente diviso in quattro componenti: principale, limitato, universo e multiverso. I pacchetti principali e limitati sono supportati dal team di sicurezza di Ubuntu per la vita di una versione di Ubuntu, mentre i pacchetti nell'universo e nel multiverso sono supportati dalla comunità di Ubuntu. Consulta le Domande frequenti sul team di sicurezza per ulteriori informazioni.

Poiché nginx è nel componente Universo, non riceve aggiornamenti dal team di sicurezza. Spetta alla comunità risolvere i problemi di sicurezza in quel pacchetto. Vedi qui per la procedura esatta .

È possibile utilizzare Software Center o lo ubuntu-support-statusstrumento da riga di comando per determinare quali pacchetti sono ufficialmente supportati e per quanto tempo.

Aggiornamento dal futuro : Nginx si sta muovendo per modo principale sarà ricevere supporto dal team di Ubuntu di sicurezza in quel punto. Se non sei sicuro che la tua versione lo farà, guarda apt-cache show nginxe cerca il tag "Sezione". Quando è in Main, ottieni supporto Canonical.

Il pacchetto nginx in ppa per precisione è a Version 1.1.17-2 uploaded on 2012-03-19.

Se hai bisogno di patch per CVE che sono ancora in fase di candidatura e non accettate, potresti prendere in considerazione l'aggiunta di ppas .

Su questo particolare pacchetto e bug ecco alcune note del tracker dei bug del pacchetto .

I pacchetti all'interno del repository 'principale' di Ubuntu sono attivamente aggiornati da Canonical. (Per far parte dell'installazione predefinita, un pacchetto deve trovarsi all'interno di main.)

Tuttavia, per pacchetti come nginx, che si trovano nell '"universo", non mi aspetterei aggiornamenti di sicurezza tempestivi. Questo perché questi pacchetti sono gestiti da volontari, piuttosto che da Canonical. Non sarebbe ragionevole aspettarsi che Canonical controlli costantemente le decine di migliaia di pacchetti esistenti nell'universo.

Per i pacchetti che si trovano su distribuzioni basate su Debian come Ubuntu, le patch di sicurezza sono trasferite nella versione corrente. Le versioni di rilascio non vengono aggiornate in quanto ciò potrebbe introdurre funzionalità incompatibili. Invece il team di sicurezza (o manutentore del pacchetto) applicherà la patch di sicurezza alla versione corrente rilasciando una versione patchata.

1. La versione attualmente distribuita potrebbe essere vulnerabile in quanto non supportata dal team di sicurezza di Ubuntu. Ciò non significa che sia vulnerabile poiché il manutentore del pacchetto potrebbe averlo corretto. Controllare changelognella /usr/share/doc/nginxdirectory per vedere se la patch di sicurezza è stata backportata. In caso contrario, la patch potrebbe essere in corso e disponibile nella versione di prova.

2. Hai ragione nel ritenere che mantenere aggiornato il tuo server ridurrà in modo significativo il periodo di esecuzione del software non sicuro. Esistono pacchetti che possono essere configurati per il download automatico e aggiornamenti di installazione opzionali. Questi possono anche avvisare quali patch sono state installate o sono pronte per l'installazione.

3. Per i pacchetti che non sono supportati dal team di sicurezza, potresti voler prestare attenzione a eventuali problemi di sicurezza in sospeso. Valuta il rischio in quanto non tutte le vulnerabilità sono sfruttabili su tutti i sistemi. Alcuni potrebbero dipendere dalla configurazione o richiedere l'accesso locale. Altri potrebbero non essere così significativi senza altri problemi, ad esempio sfruttando una condizione di competizione per sostituire un file con punteggi alti dei giochi.