Comment savoir si un CVE a été corrigé dans les référentiels d'Ubuntu?

15

Aujourd'hui, deux dépassements de tampon dans NTP ont été annoncés 1 , 2 . Il semble que la mise à jour de mon système pour résoudre ces problèmes soit en règle.

Comment puis-je savoir s'ils ont été corrigés dans les référentiels Ubuntu, de sorte que si je devais exécuter: 

sudo apt-get update
sudo apt-get upgrade

alors le correctif serait installé et la vulnérabilité fermée?

Modifier: la réponse sélectionnée répond spécifiquement à la question de savoir si un CVE donné a été corrigé ou non, "Ubuntu publie-t-il généralement des mises à jour de sécurité en temps opportun?" 3 est certainement lié mais pas identique

apt  security 
Jxtps
source
Je ne sais pas comment vous pouvez savoir si un correctif spécifique est dans un package, sauf que peut-être qu'il sera annoncé sur le tableau de bord. Vous pouvez dire à la fois la version que vous avez installée et la version disponible en exécutantapt-cache policy ntp
Charles Green
Une autre chose à considérer est que les systèmes de bureau sont des cibles beaucoup moins invitantes que les serveurs. Il est fort probable que vous attendiez qu'un correctif apparaisse dans les référentiels que vous utilisez normalement.
Zeiss Ikon
@dobey: Je ne suis pas sûr que ce soit un dupe - ils demandent comment savoir s'il est corrigé, et non s'il est mis à jour en temps opportun.
Thomas Ward
@Mitch voir mon commentaire précédent à dobey.
Thomas Ward
"System" = 10-20 VMs sur AWS, donc serveurs.
Jxtps

Réponses:

14

Ce que vous recherchez, ce sont des notifications de sécurité Ubuntu et elles ne sont pas clairement répertoriées dans les référentiels. Cette page est la liste principale des notifications de sécurité d'Ubuntu.

En ce qui concerne les packages individuels, les mises à jour qui traitent des correctifs de sécurité se trouvent dans leur propre référentiel spécial, la -securitypoche. En utilisant Synaptic, vous pouvez basculer vers la vue "Origine" et voir les paquets dans la RELEASE-securitypoche.

Tous les CVE sont également répertoriés dans le tracker CVE de l'équipe de sécurité d'Ubuntu - avec votre CVE spécifiquement référencé ici . Dans le cas de CVE-2014-9295 auquel vous faites référence ici, il n'a pas encore été corrigé.

Une fois qu'une mise à jour est disponible, elle sera détectée par sudo apt-get update; sudo apt-get upgradesa publication dans le référentiel de sécurité.

Thomas Ward
source
Le tracker CVE est un gagnant, pour référence future, ils ont également une page de recherche
Jxtps
10

Bien que la réponse acceptée soit correcte, je trouve souvent que je suis en mesure de trouver ces informations en affichant le journal des modifications d'un package, et c'est plus facile que de parcourir les trackers CVE ou la liste des notifications de sécurité. Par exemple:

sudo apt-get update
apt-get changelog ntp

La sortie de la commande ci-dessus comprend:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Ce qui montre clairement que les bugs que vous avez mentionnés ont été corrigés dans les référentiels ubuntu. Vous pouvez ensuite exécuter:

sudo apt-get upgrade

pour abaisser le correctif.

ralfthewise
source
0

Je pense que vous parlez de vérifier le journal des modifications d'un paquet? Pour voir les nouveautés, les grandes corrections majeures, etc.? Synaptica un moyen facile d'essayer de télécharger les journaux des modifications.

Ou si le journal des modifications n'est pas disponible ou est trop bref, le meilleur moyen pourrait être de noter la version disponible, d'aller sur le site Web du développeur et de voir, espérons-le, des modifications plus détaillées.

Xen2050
source
J'espérais éviter de parcourir les journaux des modifications pour le déterminer - les CVE à fort impact se sentent comme s'ils devraient être appelés sur les pages du package, mais c'est une demande de fonctionnalité pour un autre jour.
Jxtps
0

Si vous exécutez ces commandes, vous obtiendrez tous les correctifs qui se trouvent dans les référentiels - mais ils ne le sont peut-être pas encore. Si Update Notifier est activé (un widget de barre d'état), vous recevrez une notification chaque fois qu'il y aura des mises à jour système ou de sécurité (et les mises à jour de sécurité seront notées comme telles). Ensuite, vous obtiendrez les correctifs dès leur sortie pour Ubuntu, sans avoir à les stresser.

Zeiss Ikon
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.