Problème concret: Le paquet Onirique nginx est à la version 1.0.5-1, sorti en Juillet 2011 selon le changelog .
La récente vulnérabilité de divulgation de la mémoire ( page de conseil , CVE-2012-1180 , DSA-2434-1 ) n'est pas corrigée dans 1.0.5-1. Si je ne me trompe pas sur la page CVE d'Ubuntu, toutes les versions d'Ubuntu semblent contenir un nginx vulnérable.
Est-ce vrai?
Si tel est le cas: je pensais qu'il y avait une équipe de sécurité chez Canonical qui travaillait activement sur des problèmes comme celui-ci. Je m'attendais donc à recevoir une mise à jour de sécurité dans un délai très court (quelques heures ou quelques jours)
apt-get update
.Est-ce que l'attente - que maintenir mes paquets à jour est suffisant pour empêcher mon serveur d'avoir des vulnérabilités connues - est généralement fausse?
Si oui: que dois-je faire pour le garder en sécurité? La lecture des avis de sécurité Ubuntu n’aurait pas aidé dans ce cas, car la vulnérabilité de nginx n’y avait jamais été signalée.