“rpm -qa --changelog nome_do_pacote” não listando números CVE para um pacote, mas funciona bem para outros

Question

“rpm -qa --changelog nome_do_pacote” não listando números CVE para um pacote, mas funciona bem para outros

#1 resposta do (0 votos)

0

Estou tentando descobrir quais vulnerabilidades já estão corrigidas para os pacotes mysql *, mas para minha surpresa o changelog não está listando nenhum número CVE.

Quando executo rpm -qa --changelog package_name , ele mostra todos os changelogs, incluindo os números CVE, etc., conforme mostrado abaixo:

[[email protected] ~]# rpm -qa --changelog kernel | grep -i cve | head -n10
- [mm] enlarge stack guard gap (Larry Woodman) [1452732 1452733] {CVE-2017-1000364}
- [fs] nfsd: stricter decoding of write-like NFSv2/v3 ops ("J. Bruce Fields") [1449282 1443204] {CVE-2017-7895}
- [fs] nfsd4: minor NFSv2/v3 write decoding cleanup ("J. Bruce Fields") [1449282 1443204] {CVE-2017-7895}
- [fs] nfsd: check for oversized NFSv2/v3 arguments ("J. Bruce Fields") [1447642 1442407] {CVE-2017-7645}
- [net] macsec: dynamically allocate space for sglist (Sabrina Dubroca) [1445546 1445545] {CVE-2017-7477}
- [net] macsec: avoid heap overflow in skb_to_sgvec (Sabrina Dubroca) [1445546 1445545] {CVE-2017-7477}
- [net] tcp: avoid infinite loop in tcp_splice_read() (Davide Caratti) [1430579 1430580] {CVE-2017-6214}
- [x86] kvm: x86: fix emulation of "MOV SS, null selector" (Radim Krcmar) [1414742 1414743] {CVE-2017-2583}
- [net] packet: fix overflow in check for tp_reserve (Hangbin Liu) [1441171 1441172] {CVE-2017-7308}
- [net] packet: fix overflow in check for tp_frame_nr (Hangbin Liu) [1441171 1441172] {CVE-2017-7308}

No entanto, quando eu executo o check for mysql * package não tenho nenhum número de CVE listado:

[[email protected] ~]# rpm -qa --changelog mysql* | grep -i cve
[[email protected] ~]#

Estou sentindo falta de algo, alguma configuração nos repositórios do yum, etc.?

De onde o rpm pega as informações do changelog, talvez eu precise reconstruí-lo para o pacote mysql?

E sim sem greping o conteúdo eu vejo changelogs bem, mas sem qualquer CVE ofcourse:

[[email protected] ~]# rpm -qa --changelog mysql* | head -n10
* Wed Nov 08 2017 Bharathy Satish <[email protected]> - 5.7.21-1
- Add keyring_encrypted_file.so plugin

* Tue Oct 31 2017 Bjorn Munch <[email protected]> - 5.7.21-1
- Remove obsoleted mysqltest man pages

* Fri May 26 2017 Harin Vadodaria <[email protected]> - 5.7.19-1
- Add keyring_aws.so plugin to commercial server subpackage

* Tue Sep 13 2016 Balasubramanian Kandasamy <[email protected]> - 5.7.16-1

security rpm rhel

por Rajneesh Gadge 19.02.2018 / 12:23

1 resposta

Tags security rpm rhel

Erro no kernel do Cloud Server Conta recursivamente o número médio de arquivos em uma série de diretórios usando o WGET

score 0 · Accepted Answer

A entrada do changelog é texto de forma livre. Alguns mantenedores de pacotes colocam lá CVE. Algum id de bug. Alguns descrevem todas as mudanças, alguns colocam um breve resumo lá.

Você não pode confiar no changelog. Você tem que encontrar outro jeito.