Wie kann ich feststellen, ob ein CVE in Ubuntus Repositorys behoben wurde?

15

Heute wurden einige Pufferüberläufe in NTP 1 , 2 angekündigt . Es sieht so aus, als wäre ein Update meines Systems zur Behebung dieser Probleme angebracht.

Wie kann ich herausfinden, ob sie in den Ubuntu-Repositories behoben wurden, so dass, wenn ich sie ausführen würde: 

sudo apt-get update
sudo apt-get upgrade

dann würde das Update installiert und die Sicherheitslücke geschlossen werden?

Bearbeiten: Die ausgewählte Antwort befasst sich speziell mit der Frage, wie festgestellt werden kann, ob ein bestimmtes CVE behoben wurde oder nicht. 3 ist sicherlich verwandt, aber nicht identisch

apt  security 
Jxtps
quelle
Ich bin mir nicht sicher, wie Sie feststellen können, ob ein bestimmtes Update in einem Paket enthalten ist, mit der Ausnahme, dass es möglicherweise auf dem Launchpad angekündigt wird. Sie können sowohl die Version sagen , dass Sie installiert haben, und die verfügbare Version durch Ausführenapt-cache policy ntp
Charles Green
Eine andere zu berücksichtigende Sache ist, dass Desktop-Systeme weit weniger einladende Ziele sind als Server. Sie werden höchstwahrscheinlich warten, bis ein Fix in den Repositorys angezeigt wird, die Sie normalerweise verwenden.
Zeiss Ikon
@dobey: Ich bin mir nicht sicher, ob es ein Betrug ist - sie fragen, wie man herausfindet, ob es behoben ist, und nicht, ob es rechtzeitig aktualisiert wird.
Thomas Ward
@Mitch siehe meinen vorherigen Kommentar zu Dobey.
Thomas Ward
"System" = 10-20 VMs auf AWS, also Servern.
Jxtps

Antworten:

14

Was Sie suchen, sind Ubuntu-Sicherheitsbenachrichtigungen, die in den Repositorys nicht eindeutig aufgelistet sind. Diese Seite ist die Hauptliste der Ubuntu-Sicherheitsbenachrichtigungen.

Bei einzelnen Paketen befinden sich Aktualisierungen, die Sicherheitsupdates betreffen, in ihrem eigenen speziellen Repository, der -securityTasche. Mit Synaptic können Sie zur Ansicht "Origin" wechseln und Pakete in der RELEASE-securityTasche sehen.

Alle CVEs werden auch im CVE-Tracker des Ubuntu-Sicherheitsteams aufgelistet - mit Ihrem speziell hier angegebenen CVE . Im Fall von CVE-2014-9295, auf das Sie hier verweisen, wurde dies noch nicht behoben.

Sobald ein Update verfügbar ist, wird es erkannt, sudo apt-get update; sudo apt-get upgradesobald es im Sicherheitsrepository veröffentlicht wird.

Thomas Ward
quelle
Der CVE-Tracker ist ein Gewinner, für zukünftige Referenz haben sie auch eine Suchseite
Jxtps
10

Obwohl die akzeptierte Antwort korrekt ist, kann ich diese Informationen häufig anhand des Änderungsprotokolls eines Pakets herausfinden. Dies ist einfacher als das Durchsuchen der CVE-Tracker oder der Liste der Sicherheitsbenachrichtigungen. Beispielsweise:

sudo apt-get update
apt-get changelog ntp

Die Ausgabe des obigen Befehls enthält:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Dies zeigt deutlich, dass die von Ihnen erwähnten Fehler in den Ubuntu-Repositories behoben wurden. Sie können dann ausführen:

sudo apt-get upgrade

das Update herunterziehen.

Rechts herum
quelle
0

Ich denke, Sie sprechen über das Änderungsprotokoll eines Pakets zu überprüfen? Um zu sehen, was es Neues gibt, große Fehlerbehebungen usw.? Synaptichat eine einfache Möglichkeit, Changelogs zu testen und herunterzuladen.

Wenn das Änderungsprotokoll nicht verfügbar oder zu kurz ist, ist es möglicherweise am besten, die verfügbare Version zu notieren, die Entwickler-Website aufzurufen und hoffentlich detailliertere Änderungen zu sehen.

Xen2050
quelle
Ich hatte gehofft, nicht durch Änderungsprotokolle waten zu müssen, um dies festzustellen - CVEs mit hohem Einfluss haben das Gefühl, dass sie auf den Paketseiten aufgerufen werden sollten, aber das ist eine Funktionsanforderung für einen anderen Tag.
Jxtps
0

Wenn Sie diese Befehle ausführen, erhalten Sie alle Korrekturen , die sich in den Repositorys befinden - aber möglicherweise noch nicht. Wenn Sie Update Notifier aktiviert haben (ein Tray-Widget), erhalten Sie eine Benachrichtigung, sobald System- oder Sicherheitsupdates vorliegen (und Sicherheitsupdates werden als solche gekennzeichnet). Dann bekommst du die Patches, sobald sie für Ubuntu verfügbar sind, ohne dich darum kümmern zu müssen.

Zeiss Ikon
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.