Gibt Ubuntu im Allgemeinen rechtzeitige Sicherheitsupdates heraus?

Konkretes Problem: Das Oneiric-Nginx-Paket ist gemäß dem Changelog in der Version 1.0.5-1 verfügbar, die im Juli 2011 veröffentlicht wurde .

Die jüngste Speicher-Sicherheitsanfälligkeit durch Offenlegung ( beratende Seite , CVE-2012-1180 , DSA-2434-1 ) nicht in 1.0.5-1 behoben. Wenn ich die Ubuntu-CVE-Seite nicht falsch verstehe, scheinen alle Ubuntu-Versionen einen anfälligen Nginx zu enthalten.

1. Ist das wahr?

   Wenn ja: Ich dachte, es gäbe ein Sicherheitsteam bei Canonical, das sich aktiv mit solchen Problemen befasst, und daher erwartete ich, dass innerhalb eines kurzen Zeitraums (Stunden oder Tage) ein Sicherheitsupdate veröffentlicht wird apt-get update.

2. Ist diese Erwartung - dass es ausreicht, meine Pakete auf dem neuesten Stand zu halten, um zu verhindern, dass mein Server bekannte Schwachstellen aufweist - im Allgemeinen falsch?

3. Wenn ja: Was soll ich tun, um die Sicherheit zu gewährleisten? Das Lesen der Ubuntu-Sicherheitshinweise hätte in diesem Fall nicht geholfen, da die Nginx-Sicherheitsanfälligkeit dort nie veröffentlicht wurde.

Ubuntu ist derzeit in vier Komponenten unterteilt: main, restricted, universe und multiverse. Pakete in main und restricted werden vom Ubuntu-Sicherheitsteam während der gesamten Laufzeit einer Ubuntu-Version unterstützt, während Pakete in universe und multiverse von der Ubuntu-Community unterstützt werden. Weitere Informationen finden Sie in den häufig gestellten Fragen zum Sicherheitsteam .

Da sich nginx in der Universe-Komponente befindet, werden keine Updates vom Sicherheitsteam abgerufen. Es ist Aufgabe der Community, Sicherheitsprobleme in diesem Paket zu beheben. Sehen Sie hier für die genaue Vorgehensweise .

Sie können das Software Center oder das ubuntu-support-statusBefehlszeilentool verwenden, um zu bestimmen, welche Pakete offiziell unterstützt werden und wie lange.

Update aus der Zukunft : Nginx wechselt zu main und wird zu diesem Zeitpunkt vom Ubuntu-Sicherheitsteam unterstützt. Wenn Sie sich nicht sicher sind, ob Ihre Version das zulässt, suchen Sie einfach nach apt-cache show nginxdem Tag "Section". In Main erhalten Sie Canonical Support dafür.

Das Nginx-Paket in ppa für präzise ist bei Version 1.1.17-2 uploaded on 2012-03-19.

Wenn Sie Patches für CVEs benötigen, die sich noch in der Kandidatenliste befinden und nicht akzeptiert werden, sollten Sie möglicherweise ppas hinzufügen .

Zu diesem bestimmten Paket und Fehler finden Sie hier einige Hinweise aus dem Paket-Fehlerverfolger .

Pakete im Ubuntu-Haupt-Repository werden von Canonical aktiv auf dem neuesten Stand gehalten. (Um Teil der Standardinstallation zu sein, muss sich ein Paket in main befinden.)

Für Pakete wie nginx, die sich im "Universum" befinden, würde ich jedoch keine rechtzeitigen Sicherheitsupdates erwarten. Dies liegt daran, dass diese Pakete nicht von Canonical, sondern von Freiwilligen gepflegt werden. Es ist nicht zu erwarten, dass Canonical die Zehntausende von Paketen, die im Universum existieren, ständig überwacht.

Für Pakete, die auf Debian-basierten Distributionen wie Ubuntu basieren, werden Sicherheitspatches in die aktuelle Version zurückportiert. Release-Versionen werden nicht aktualisiert, da dies zu inkompatiblen Funktionen führen kann. Stattdessen wendet das Sicherheitsteam (oder der Paketbetreuer) den Sicherheitspatch auf die aktuelle Version an und veröffentlicht eine gepatchte Version.

1. Die aktuell bereitgestellte Version ist möglicherweise anfällig, da sie vom Ubuntu-Sicherheitsteam nicht unterstützt wird. Dies bedeutet nicht, dass es anfällig ist, da der Paketbetreuer es möglicherweise gepatcht hat. Überprüfen Sie changelogim /usr/share/doc/nginxVerzeichnis, ob der Sicherheitspatch zurückportiert wurde. Andernfalls wird der Patch möglicherweise ausgeführt und ist in der Testversion verfügbar.

2. Sie gehen zu Recht davon aus, dass die Aktualisierung Ihres Servers den Zeitraum, in dem Sie unsichere Software ausführen, erheblich verkürzt. Es gibt Pakete, die so konfiguriert werden können, dass Updates automatisch heruntergeladen und optional installiert werden. Diese können auch mitteilen, welche Patches installiert wurden oder zur Installation bereit sind.

3. Bei Paketen, die nicht vom Sicherheitsteam unterstützt werden, sollten Sie eventuell noch ausstehende Sicherheitsprobleme berücksichtigen. Bewerten Sie das Risiko, da nicht alle Schwachstellen auf allen Systemen ausgenutzt werden können. Einige sind möglicherweise konfigurationsabhängig oder erfordern lokalen Zugriff. Andere sind ohne andere Probleme möglicherweise nicht so bedeutend, z. B. Ausnutzen einer Rennbedingung, um eine Highscore-Datei für Spiele zu ersetzen.