O Ubuntu geralmente publica atualizações de segurança oportunas?

32

Questão concreta: O pacote nginx da Oneiric está na versão 1.0.5-1, lançada em julho de 2011 de acordo com para o changelog .

A recente vulnerabilidade de divulgação de memória ( página de consultoria , CVE-2012-1180 , DSA-2434-1 ) não foi corrigido em 1.0.5-1. Se eu não estou lendo mal a página do Ubuntu CVE, todas as versões do Ubuntu parecem enviar um nginx vulnerável.

  1. Isso é verdade?

    Em caso afirmativo: achei que havia uma equipe de segurança na Canonical que está trabalhando ativamente em problemas como esse, então esperava obter uma atualização de segurança em um curto período de tempo (horas ou dias) por meio de apt-get update .

  2. Essa expectativa é de que manter meus pacotes atualizados é suficiente para impedir que meu servidor tenha vulnerabilidades conhecidas? geralmente errado?

  3. Se assim for: o que devo fazer para mantê-lo seguro? Ler os avisos de segurança do Ubuntu não teria ajudado nesse caso, já que a vulnerabilidade nginx nunca foi postada lá.

por Jo Liss 05.04.2012 / 19:35

4 respostas

39

O Ubuntu está atualmente dividido em quatro componentes: principal, restrito, universo e multiverso. Pacotes no principal e restrito são suportados pela equipe do Ubuntu Security pela duração de uma versão do Ubuntu, enquanto os pacotes no universo e multiverso são suportados pela comunidade Ubuntu. Consulte o FAQ da equipe de segurança para obter mais informações.

Como nginx está no componente Universe, ele não recebe atualizações da equipe de segurança. Cabe à comunidade corrigir problemas de segurança nesse pacote. Veja aqui para o procedimento exato .

Você pode usar o Centro de Software ou a ferramenta de linha de comando ubuntu-support-status para determinar quais pacotes são oficialmente suportados e por quanto tempo.

Atualização do futuro : o Nginx está se movendo para o main, então irá receber suporte da equipe de segurança do Ubuntu naquele momento. Se você não tiver certeza se sua versão será, basta olhar para apt-cache show nginx e procurar a tag "Section". Quando isso é no Main, você está recebendo suporte canônico para isso.

    
por mdeslaur 05.04.2012 / 20:22
14

O pacote nginx no ppa para precisão está em Version 1.1.17-2 uploaded on 2012-03-19 .

Se você precisar de correções para os CVEs que ainda estão em fase de candidatura e não forem aceitos, considere adicionar ppas .

Neste pacote específico e bug aqui estão algumas notas de o rastreador de bug do pacote .

    
por RobotHumans 05.04.2012 / 19:46
4

Pacotes dentro do repositório 'principal' do Ubuntu são ativamente mantidos atualizados pela Canonical. (Para fazer parte da instalação padrão, um pacote deve estar dentro de main.)

No entanto, para pacotes como o nginx, que estão no "universo", não esperaria atualizações de segurança oportunas. Isso ocorre porque esses pacotes são mantidos por voluntários, em vez de pela Canonical. Não seria razoável esperar que a Canonical monitore constantemente as dezenas de milhares de pacotes existentes no universo.

    
por 8128 05.04.2012 / 20:23
1

Para pacotes que estão em distribuições baseadas no Debian, como o Ubuntu, os patches de segurança são transferidos para a versão atual. As versões de lançamento não são atualizadas, pois podem apresentar recursos incompatíveis. Em vez disso, a equipe de segurança (ou mantenedor do pacote) aplicará o patch de segurança à versão atual e lançará uma versão corrigida.

  1. A versão atualmente implantada pode ser vulnerável, pois não é suportada pela equipe do Ubuntu Security. Isto não significa que é vulnerável como o mantenedor do pacote pode ter corrigido. Verifique o changelog no diretório /usr/share/doc/nginx para ver se o patch de segurança foi portado. Se não, o patch pode estar em progresso e disponível no release de testes.

  2. Você está correto em assumir que manter seu servidor atualizado reduzirá significativamente o período em que você está executando software inseguro. Existem pacotes que podem ser configurados para baixar automaticamente e instalar atualizações opcionais. Eles também podem notificar quais correções foram instaladas ou estão prontas para instalação.

  3. Para pacotes que não são suportados pela equipe de segurança, talvez você queira prestar atenção a quaisquer problemas de segurança pendentes. Avalie o risco, pois nem todas as vulnerabilidades são exploráveis em todos os sistemas. Alguns podem ser dependentes da configuração ou requerem acesso local. Outros podem não ser tão significativos sem outros problemas, por exemplo, explorando uma condição de corrida para substituir um arquivo de recordes de jogos.

por BillThor 06.04.2012 / 02:13