Jak mogę sprawdzić, czy w repozytoriach Ubuntu naprawiono CVE?

Dzisiaj ogłoszono kilka przepełnień bufora w NTP 1 , 2 . Wygląda na to, że aktualizacja mojego systemu w celu rozwiązania tych problemów jest w porządku.

Jak mogę się dowiedzieć, czy zostały naprawione w repozytoriach Ubuntu, na przykład, jeśli miałbym uruchomić:

sudo apt-get update
sudo apt-get upgrade

wtedy poprawka zostanie zainstalowana, a luka zostanie zamknięta?

Edycja: Wybrana odpowiedź w szczególności odnosi się do pytania, jak ustalić, czy dana CVE została naprawiona, czy nie: „Czy Ubuntu zasadniczo publikuje aktualne aktualizacje zabezpieczeń?” 3 jest z pewnością powiązane, ale nie identyczne

To, czego szukasz, to powiadomienia bezpieczeństwa Ubuntu i nie są one wyraźnie wymienione w repozytoriach. Ta strona jest główną listą powiadomień bezpieczeństwa Ubuntu.

Jeśli chodzi o poszczególne pakiety, aktualizacje dotyczące poprawek zabezpieczeń znajdują się w ich własnym specjalnym repozytorium - -securitykieszeni. Korzystając z Synaptic, możesz przejść do widoku „Origin” i zobaczyć paczki w RELEASE-securitykieszeni.

Wszystkie CVE są również wymienione w module śledzącym CVE Ubuntu Security Team - z Twoim konkretnym CVE tutaj . W przypadku CVE-2014-9295, do którego się tu odwołujesz, nie został on jeszcze naprawiony.

Gdy aktualizacja będzie dostępna, zostanie wykryta sudo apt-get update; sudo apt-get upgradepo wydaniu w repozytorium zabezpieczeń.

Chociaż zaakceptowana odpowiedź jest prawidłowa, często okazuje się, że jestem w stanie znaleźć te informacje, przeglądając dziennik zmian pakietu, a to jest łatwiejsze niż przeszukiwanie modułów śledzenia CVE lub listy powiadomień bezpieczeństwa. Na przykład:

sudo apt-get update
apt-get changelog ntp

Dane wyjściowe powyższego polecenia obejmują:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

Co wyraźnie pokazuje, że wspomniane błędy zostały naprawione w repozytoriach ubuntu. Następnie możesz uruchomić:

sudo apt-get upgrade

usunąć poprawkę.

Myślę, że mówisz o sprawdzeniu dziennika zmian pakietu? Aby zobaczyć, co nowego, główne duże poprawki itp.? Synapticma łatwy sposób na wypróbowanie i pobranie dzienników zmian.

Lub jeśli dziennik zmian nie jest dostępny lub jest zbyt krótki, najlepszym sposobem może być zanotowanie dostępnej wersji i przejście do strony programisty i zobaczenie, mam nadzieję, bardziej szczegółowych zmian.

Jeśli uruchomisz te polecenia, otrzymasz poprawki, które znajdują się w repozytoriach - ale mogą jeszcze nie być. Jeśli masz włączony Powiadomienia o aktualizacji (widget zasobnika), otrzymasz powiadomienie za każdym razem, gdy pojawią się aktualizacje systemu lub zabezpieczeń (a aktualizacje zabezpieczeń zostaną oznaczone jako takie). Otrzymasz łatki, gdy tylko będą dostępne dla Ubuntu, bez stresowania się nimi.