Como posso saber se um CVE foi corrigido nos repositórios do Ubuntu?

13

Hoje, um par de estouro de buffer no NTP foi anunciado 1 , 2 . Parece que atualizar meu sistema para corrigir esses problemas está em ordem.

Como posso descobrir se eles foram corrigidos nos repositórios do Ubuntu, de modo que, se eu fosse executar:

sudo apt-get update
sudo apt-get upgrade

a correção será instalada e a vulnerabilidade será fechada?

Editar: A resposta selecionada aborda especificamente a questão de como identificar se um determinado CVE foi corrigido ou não, "O Ubuntu geralmente publica atualizações de segurança oportunas?" 3 está certamente relacionado, mas não é idêntico

    
por Jxtps 19.12.2014 / 20:32

4 respostas

13

O que você está procurando são as notificações de segurança do Ubuntu e elas não estão claramente listadas nos repositórios. Esta página é a principal lista de Notificações de Segurança do Ubuntu.

Quanto a pacotes individuais, as atualizações que endereçam correções de segurança estão em seu próprio repositório especial, o -security pocket. Usando o Synaptic, você pode mudar para a visualização "Origin" e ver os pacotes no RELEASE-security pocket.

Todos os CVEs também estão listados no rastreador CVE da Equipe de Segurança do Ubuntu - com o seu CVE especificamente mencionado < href="http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-9295.html"> aqui . No caso do CVE-2014-9295 que você faz referência aqui, ele ainda não foi corrigido.

Quando uma atualização estiver disponível, ela será detectada por sudo apt-get update; sudo apt-get upgrade quando for liberada no repositório de segurança.

    
por Thomas Ward 19.12.2014 / 20:55
7

Enquanto a resposta aceita está correta, muitas vezes descubro que sou capaz de descobrir essa informação visualizando o changelog de um pacote, e isso é mais fácil do que vasculhar os rastreadores CVE ou a listagem de notificações de segurança. Por exemplo:

sudo apt-get update
apt-get changelog ntp

A saída do comando acima inclui:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

O que mostra claramente que os erros que você mencionou foram corrigidos nos repositórios do Ubuntu. Você pode então executar:

sudo apt-get upgrade

para reduzir a correção.

    
por ralfthewise 28.09.2016 / 22:06
0

Eu acho que você está falando sobre como verificar o changelog de um pacote? Para ver o que há de novo, grandes correções, etc? Synaptic tem uma maneira fácil de tentar & amp; faça o download de changelogs.

Ou, se o log de alterações não estiver disponível ou for muito breve, a melhor maneira é observar a versão disponível e acessar o site do desenvolvedor & amp; veja, esperamos, mudanças mais detalhadas.

    
por Xen2050 19.12.2014 / 20:37
0

Se você executar esses comandos, obterá quaisquer correções que estejam nos repositórios - mas talvez ainda não sejam. Se você tiver o Update Notifier ativado (um widget de bandeja), receberá uma notificação sempre que houver atualizações do sistema ou de segurança (e as atualizações de segurança serão anotadas como tal). Então você receberá os patches assim que eles saírem para o Ubuntu, sem ter que se preocupar com eles.

    
por Zeiss Ikon 19.12.2014 / 20:53