Konkretes Problem: Das Oneiric-Nginx-Paket ist gemäß dem Changelog in der Version 1.0.5-1 verfügbar, die im Juli 2011 veröffentlicht wurde .
Die jüngste Speicher-Sicherheitsanfälligkeit durch Offenlegung ( beratende Seite , CVE-2012-1180 , DSA-2434-1 ) nicht in 1.0.5-1 behoben. Wenn ich die Ubuntu-CVE-Seite nicht falsch verstehe, scheinen alle Ubuntu-Versionen einen anfälligen Nginx zu enthalten.
Ist das wahr?
Wenn ja: Ich dachte, es gäbe ein Sicherheitsteam bei Canonical, das sich aktiv mit solchen Problemen befasst, und daher erwartete ich, dass innerhalb eines kurzen Zeitraums (Stunden oder Tage) ein Sicherheitsupdate veröffentlicht wird
apt-get update
.Ist diese Erwartung - dass es ausreicht, meine Pakete auf dem neuesten Stand zu halten, um zu verhindern, dass mein Server bekannte Schwachstellen aufweist - im Allgemeinen falsch?
Wenn ja: Was soll ich tun, um die Sicherheit zu gewährleisten? Das Lesen der Ubuntu-Sicherheitshinweise hätte in diesem Fall nicht geholfen, da die Nginx-Sicherheitsanfälligkeit dort nie veröffentlicht wurde.