Ubuntuは通常、タイムリーなセキュリティ更新を投稿しますか？

具体的な問題：Oneiric nginxパッケージのバージョンは1.0.5-1で、変更ログによると、2011年7月にリリースされました。

最近のメモリ開示の脆弱性（アドバイザリページ、CVE-2012-1180、DSA-2434-1）は、1.0.5-1で修正されていません。Ubuntu CVEページを誤読していない場合、すべてのUbuntuバージョンには脆弱なnginxが含まれているようです。

1. これは本当ですか？

   その場合：Canonicalにこのような問題に積極的に取り組んでいるセキュリティチームがあると思ったので、を介して短い時間枠（数時間または数日）以内にセキュリティ更新プログラムを取得する予定でしたapt-get update。

2. これは、私のパッケージを最新の状態に保つことでサーバーが既知の脆弱性を持つのを防ぐのに十分であるという期待ですか？一般的に間違っていますか？

3. その場合：安全に保つにはどうすればよいですか？Ubuntuのセキュリティ通知を読んでも、nginxの脆弱性がそこに投稿されたことはなかったため、このケースでは役に立ちませんでした。

Ubuntuは現在、メイン、制限、ユニバース、マルチバースの4つのコンポーネントに分かれています。メインおよび制限付きのパッケージは、Ubuntuリリースの存続期間中、Ubuntuセキュリティチームによってサポートされますが、ユニバースおよびマルチバースのパッケージはUbuntuコミュニティによってサポートされます。詳細については、セキュリティチームのよくある質問をご覧ください。

nginxはユニバースコンポーネントに含まれているため、セキュリティチームから更新を取得しません。そのパッケージのセキュリティ問題を修正するのはコミュニティ次第です。正確な手順については、こちらをご覧ください。

Software Centerまたはubuntu-support-statusコマンドラインツールを使用して、公式にサポートされているパッケージとその期間を判断できます。

将来からの更新：Nginxはmainに移行しているため、その時点でUbuntu Security Teamからサポートを受けます。あなたのバージョンがそうなのかどうか確信が持てない場合apt-cache show nginxは、「セクション」タグを探して探してください。それがMainにある場合、Canonicalのサポートを取得しています。

正確なppaのnginxパッケージはにありVersion 1.1.17-2 uploaded on 2012-03-19ます。

まだ候補にあり、受け入れられていないCVEのパッチが必要な場合は、ppasの追加を検討できます。

この特定のパッケージとバグについては、パッケージバグトラッカーからのメモがあります。

Ubuntuの「メイン」リポジトリ内のパッケージは、Canonicalによって最新の状態に維持されています。（デフォルトのインストールに含めるには、パッケージはmain内になければなりません。）

ただし、nginxなどの「ユニバース」にあるパッケージの場合、タイムリーなセキュリティ更新は期待できません。これは、これらのパッケージがCanonicalではなくボランティアによって管理されているためです。Canonicalが宇宙に存在する何万ものパッケージを絶えず監視することを期待するのは合理的ではありません。

UbuntuなどのDebianベースのディストリビューションにあるパッケージの場合、セキュリティパッチは現在のリリースにバックポートされます。互換性のない機能が導入される可能性があるため、リリースバージョンは更新されません。代わりに、セキュリティチーム（またはパッケージメンテナ）がセキュリティパッチを現在のバージョンに適用し、パッチを適用したバージョンをリリースします。

1. 現在展開されているバージョンは、Ubuntuセキュリティチームによってサポートされていないため、脆弱である可能性があります。これは、パッケージメンテナがパッチを適用した可能性があるため、脆弱であることを意味するものではありません。チェックchangelogして/usr/share/doc/nginxセキュリティパッチがバックポートされているかどうかを確認するためにディレクトリ。そうでない場合、パッチは進行中であり、テストリリースで利用可能です。

2. サーバーを最新の状態に保つと、安全でないソフトウェアを実行している期間が大幅に短縮されると考えるのは正しいことです。自動的にダウンロードするように構成できるパッケージと、オプションのインストール更新プログラムがあります。これらは、どのパッチがインストールされたか、またはインストールの準備ができているかを通知することもできます。

3. セキュリティチームによってサポートされていないパッケージの場合、未解決のセキュリティ問題に注意を払うことができます。すべての脆弱性がすべてのシステムで悪用できるわけではないため、リスクを評価してください。構成に依存したり、ローカルアクセスが必要なものもあります。他の問題は、競合状態を悪用してゲームのハイスコアファイルを置き換えるなど、他の問題がなければそれほど重要ではない場合があります。