Como posso saber se um CVE foi corrigido nos repositórios do Ubuntu?


15

Hoje, alguns estouros de buffer no NTP foram anunciados 1 , 2 . Parece que a atualização do meu sistema para corrigir esses problemas está em ordem.

Como posso descobrir se eles foram corrigidos nos repositórios do Ubuntu, de modo que, se eu fosse executar:

sudo apt-get update
sudo apt-get upgrade

a correção seria instalada e a vulnerabilidade encerrada?

Editar: A resposta selecionada aborda especificamente a questão de como identificar se um determinado CVE foi corrigido ou não: "O Ubuntu geralmente publica atualizações de segurança oportunas?" 3 é certamente relacionado, mas não idêntico


Não sei como você pode saber se uma correção específica está em um pacote, exceto que talvez seja anunciada na barra de ativação. Você pode dizer a versão que você instalou e a versão disponível executandoapt-cache policy ntp
Charles Green

Outra coisa a considerar é que os sistemas de desktop são muito menos alvos convidativos que os servidores. É provável que você espere uma correção aparecer nos repositórios que você normalmente usa.
Zeiss Ikon

@ Dobey: Não tenho certeza se é um idiota - eles estão perguntando como descobrir se está consertado, não se é atualizado em tempo hábil.
Thomas Ward

@ Mitch ver o meu comentário anterior para dobey.
Thomas Ward

"Sistema" = 10 a 20 VMs na AWS, portanto, servidores.
perfil completo de Jxtps

Respostas:


14

O que você procura são as Notificações de segurança do Ubuntu e elas não estão claramente listadas nos repositórios. Esta página é a lista principal de Notificações de Segurança do Ubuntu.

Quanto aos pacotes individuais, as atualizações que abordam as correções de segurança estão em seu próprio repositório especial, o -securitybolso. Usando o Synaptic, você pode alternar para a visualização "Origem" e ver os pacotes no RELEASE-securitybolso.

Todos os CVEs também estão listados no rastreador CVE da Equipe de Segurança do Ubuntu - com o seu CVE especificamente mencionado aqui . No caso do CVE-2014-9295 que você faz referência aqui, ele ainda não foi corrigido.

Quando uma atualização estiver disponível, ela será detectada sudo apt-get update; sudo apt-get upgradeuma vez lançada no repositório de segurança.


O rastreador CVE é um vencedor, para referência futura, eles também têm uma página de pesquisa
Jxtps

10

Embora a resposta aceita esteja correta, muitas vezes acho que sou capaz de descobrir essas informações visualizando o registro de alterações de um pacote, e isso é mais fácil do que vasculhar a lista de rastreadores do CVE ou de notificações de segurança. Por exemplo:

sudo apt-get update
apt-get changelog ntp

A saída do comando acima inclui:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

O que mostra claramente que os erros que você mencionou foram corrigidos nos repositórios do ubuntu. Você pode então executar:

sudo apt-get upgrade

para baixar a correção.


0

Eu acho que você está falando sobre verificar o changelog de um pacote? Para ver o que há de novo, grandes correções importantes, etc? Synaptictem uma maneira fácil de experimentar e baixar registros de alterações.

Ou, se o changelog não estiver disponível ou for muito breve, a melhor maneira é anotar a versão disponível e acessar o site do desenvolvedor e ver alterações esperançosamente mais detalhadas.


Eu esperava evitar percorrer os changelogs para determinar isso - os CVEs de alto impacto parecem que deveriam ser chamados nas páginas dos pacotes, mas essa é uma solicitação de recurso para outro dia.
perfil completo de Jxtps

0

Se você executar esses comandos, obterá as correções que estão nos repositórios - mas essas ainda podem não estar. Se você tiver o Notificador de Atualização ativado (um widget de bandeja), receberá uma notificação sempre que houver atualizações do sistema ou de segurança (e as atualizações de segurança serão anotadas como tal). Então você receberá os patches assim que lançados no Ubuntu, sem precisar se preocupar com eles.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.