Como posso saber se um CVE foi corrigido nos repositórios do Ubuntu?

Hoje, alguns estouros de buffer no NTP foram anunciados 1 , 2 . Parece que a atualização do meu sistema para corrigir esses problemas está em ordem.

Como posso descobrir se eles foram corrigidos nos repositórios do Ubuntu, de modo que, se eu fosse executar:

sudo apt-get update
sudo apt-get upgrade

a correção seria instalada e a vulnerabilidade encerrada?

Editar: A resposta selecionada aborda especificamente a questão de como identificar se um determinado CVE foi corrigido ou não: "O Ubuntu geralmente publica atualizações de segurança oportunas?" 3 é certamente relacionado, mas não idêntico

O que você procura são as Notificações de segurança do Ubuntu e elas não estão claramente listadas nos repositórios. Esta página é a lista principal de Notificações de Segurança do Ubuntu.

Quanto aos pacotes individuais, as atualizações que abordam as correções de segurança estão em seu próprio repositório especial, o -securitybolso. Usando o Synaptic, você pode alternar para a visualização "Origem" e ver os pacotes no RELEASE-securitybolso.

Todos os CVEs também estão listados no rastreador CVE da Equipe de Segurança do Ubuntu - com o seu CVE especificamente mencionado aqui . No caso do CVE-2014-9295 que você faz referência aqui, ele ainda não foi corrigido.

Quando uma atualização estiver disponível, ela será detectada sudo apt-get update; sudo apt-get upgradeuma vez lançada no repositório de segurança.

Embora a resposta aceita esteja correta, muitas vezes acho que sou capaz de descobrir essas informações visualizando o registro de alterações de um pacote, e isso é mais fácil do que vasculhar a lista de rastreadores do CVE ou de notificações de segurança. Por exemplo:

sudo apt-get update
apt-get changelog ntp

A saída do comando acima inclui:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

O que mostra claramente que os erros que você mencionou foram corrigidos nos repositórios do ubuntu. Você pode então executar:

sudo apt-get upgrade

para baixar a correção.

Eu acho que você está falando sobre verificar o changelog de um pacote? Para ver o que há de novo, grandes correções importantes, etc? Synaptictem uma maneira fácil de experimentar e baixar registros de alterações.

Ou, se o changelog não estiver disponível ou for muito breve, a melhor maneira é anotar a versão disponível e acessar o site do desenvolvedor e ver alterações esperançosamente mais detalhadas.

Se você executar esses comandos, obterá as correções que estão nos repositórios - mas essas ainda podem não estar. Se você tiver o Notificador de Atualização ativado (um widget de bandeja), receberá uma notificação sempre que houver atualizações do sistema ou de segurança (e as atualizações de segurança serão anotadas como tal). Então você receberá os patches assim que lançados no Ubuntu, sem precisar se preocupar com eles.