O Ubuntu geralmente publica atualizações de segurança oportunas?

O Ubuntu está atualmente dividido em quatro componentes: principal, restrito, universo e multiverso. Pacotes no principal e restrito são suportados pela equipe do Ubuntu Security pela duração de uma versão do Ubuntu, enquanto os pacotes no universo e multiverso são suportados pela comunidade Ubuntu. Consulte o FAQ da equipe de segurança para obter mais informações.

Como nginx está no componente Universe, ele não recebe atualizações da equipe de segurança. Cabe à comunidade corrigir problemas de segurança nesse pacote. Veja aqui para o procedimento exato .

Você pode usar o Centro de Software ou a ferramenta de linha de comando ubuntu-support-status para determinar quais pacotes são oficialmente suportados e por quanto tempo.

Atualização do futuro : o Nginx está se movendo para o main, então irá receber suporte da equipe de segurança do Ubuntu naquele momento. Se você não tiver certeza se sua versão será, basta olhar para apt-cache show nginx e procurar a tag "Section". Quando isso é no Main, você está recebendo suporte canônico para isso.

O pacote nginx no ppa para precisão está em Version 1.1.17-2 uploaded on 2012-03-19 .

Se você precisar de correções para os CVEs que ainda estão em fase de candidatura e não forem aceitos, considere adicionar ppas .

Neste pacote específico e bug aqui estão algumas notas de o rastreador de bug do pacote .

Pacotes dentro do repositório 'principal' do Ubuntu são ativamente mantidos atualizados pela Canonical. (Para fazer parte da instalação padrão, um pacote deve estar dentro de main.)

No entanto, para pacotes como o nginx, que estão no "universo", não esperaria atualizações de segurança oportunas. Isso ocorre porque esses pacotes são mantidos por voluntários, em vez de pela Canonical. Não seria razoável esperar que a Canonical monitore constantemente as dezenas de milhares de pacotes existentes no universo.

Para pacotes que estão em distribuições baseadas no Debian, como o Ubuntu, os patches de segurança são transferidos para a versão atual. As versões de lançamento não são atualizadas, pois podem apresentar recursos incompatíveis. Em vez disso, a equipe de segurança (ou mantenedor do pacote) aplicará o patch de segurança à versão atual e lançará uma versão corrigida.

1. A versão atualmente implantada pode ser vulnerável, pois não é suportada pela equipe do Ubuntu Security. Isto não significa que é vulnerável como o mantenedor do pacote pode ter corrigido. Verifique o changelog no diretório /usr/share/doc/nginx para ver se o patch de segurança foi portado. Se não, o patch pode estar em progresso e disponível no release de testes.

2. Você está correto em assumir que manter seu servidor atualizado reduzirá significativamente o período em que você está executando software inseguro. Existem pacotes que podem ser configurados para baixar automaticamente e instalar atualizações opcionais. Eles também podem notificar quais correções foram instaladas ou estão prontas para instalação.

3. Para pacotes que não são suportados pela equipe de segurança, talvez você queira prestar atenção a quaisquer problemas de segurança pendentes. Avalie o risco, pois nem todas as vulnerabilidades são exploráveis em todos os sistemas. Alguns podem ser dependentes da configuração ou requerem acesso local. Outros podem não ser tão significativos sem outros problemas, por exemplo, explorando uma condição de corrida para substituir um arquivo de recordes de jogos.