Come posso sapere se un CVE è stato corretto nei repository di Ubuntu?

15

Oggi sono stati annunciati un paio di overflow del buffer in NTP 1 , 2 . Sembra che l'aggiornamento del mio sistema per risolvere questi problemi sia in ordine.

Come posso sapere se sono stati corretti nei repository Ubuntu, in modo che se dovessi eseguire: 

sudo apt-get update
sudo apt-get upgrade

allora la correzione verrebbe installata e la vulnerabilità chiusa?

Modifica: la risposta selezionata risponde specificamente alla domanda su come identificare se un determinato CVE è stato corretto o meno, "Ubuntu generalmente pubblica aggiornamenti di sicurezza tempestivi?" 3 è sicuramente correlato ma non identico

apt  security 
Jxtps
fonte
Non sono sicuro di come si possa capire se una soluzione specifica è contenuta in un pacchetto, tranne che forse verrà annunciata sul launchpad. Puoi dire sia la versione che hai installato, sia la versione disponibile eseguendoapt-cache policy ntp
Charles Green il
Un'altra cosa da considerare è che i sistemi desktop sono destinazioni molto meno invitanti rispetto ai server. Molto probabilmente stai aspettando che venga visualizzata una correzione nei repository che usi normalmente.
Zeiss Ikon,
@dobey: non sono sicuro che sia un duplicato - stanno chiedendo come scoprire se è stato risolto, non se è stato aggiornato tempestivamente.
Thomas Ward
@Mitch vedi il mio commento precedente su dobey.
Thomas Ward
"Sistema" = 10-20 VM su AWS, quindi server.
Jxtps,

Risposte:

14

Quello che stai cercando sono le notifiche di sicurezza di Ubuntu e non sono chiaramente elencate nei repository. Questa pagina è il principale elenco delle notifiche di sicurezza di Ubuntu.

Per quanto riguarda i singoli pacchetti, gli aggiornamenti che risolvono le correzioni di sicurezza si trovano nel loro repository speciale, la -securitytasca. Usando Synaptic, puoi passare alla vista "Origine" e vedere i pacchetti in RELEASE-securitytasca.

Tutti i CVE sono anche elencati nel tracker CVE del team di sicurezza Ubuntu - con il CVE specificamente indicato qui . Nel caso di CVE-2014-9295 a cui si fa riferimento qui, non è stato ancora corretto.

Una volta che un aggiornamento è disponibile, verrà rilevato sudo apt-get update; sudo apt-get upgradeuna volta rilasciato nel repository di sicurezza.

Thomas Ward
fonte
Il tracker CVE è un vincitore, per riferimento futuro hanno anche una pagina di ricerca
Jxtps
10

Mentre la risposta accettata è corretta, trovo spesso che sono in grado di scoprire queste informazioni visualizzando il log delle modifiche di un pacchetto, e questo è più facile che cercare i tracker CVE o l'elenco delle notifiche di sicurezza. Per esempio:

sudo apt-get update
apt-get changelog ntp

L'output del comando sopra include:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Ciò dimostra chiaramente che i bug che hai citato sono stati corretti nei repository di Ubuntu. È quindi possibile eseguire:

sudo apt-get upgrade

per eliminare la correzione.

ralfthewise
fonte
0

Penso che stai parlando di controllare il log delle modifiche di un pacchetto? Per vedere cosa c'è di nuovo, grandi correzioni importanti, ecc.? Synapticha un modo semplice per provare e scaricare i log delle modifiche.

O se il log delle modifiche non è disponibile o è troppo breve, il modo migliore potrebbe essere quello di annotare la versione disponibile e andare sul sito Web degli sviluppatori e vedere, si spera, cambiamenti più dettagliati.

Xen2050
fonte
Speravo di evitare di sfogliare i log delle modifiche per determinare questo - CVE di grande impatto sembrano sentirsi come se fossero chiamati nelle pagine del pacchetto, ma questa è una richiesta di funzionalità per un altro giorno.
Jxtps,
0

Se esegui questi comandi, otterrai tutte le correzioni che si trovano nei repository , ma potrebbero non esserlo ancora. Se hai attivato Update Notifier (un widget della barra delle applicazioni), riceverai una notifica ogni volta che ci sono aggiornamenti di sistema o di sicurezza (e gli aggiornamenti di sicurezza verranno annotati come tali). Quindi otterrai le patch non appena saranno disponibili per Ubuntu, senza doversi preoccupare di esse.

Zeiss Ikon
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.