UbuntuのリポジトリでCVEが修正されたかどうかを確認するにはどうすればよいですか?

15

今日は、NTPにおけるバッファオーバーフローのカップルが発表された12。これらの問題を修正するためにシステムを更新することは順調に進んでいるようです。

Ubuntuリポジトリで修正されているかどうかを確認するには、どうすればよいですか? 

sudo apt-get update
sudo apt-get upgrade

修正がインストールされ、脆弱性が閉じられますか?

編集:選択された回答は、特定のCVEが修正されたかどうかを識別する方法の質問に具体的に対処します。「Ubuntuは通常、タイムリーなセキュリティ更新を投稿しますか?」3は確かに関連しているが同一ではない

apt  security 
Jxtps
ソース
特定の修正がパッケージに含まれているかどうかをどのように確認できるかはわかりませんが、おそらくランチパッドで発表されることを除きます。あなたは実行することで利用可能あなたがインストールされていること、バージョン、およびバージョンの両方を伝えることができますapt-cache policy ntp
チャールズ・グリーンを
考慮すべきもう1つのことは、デスクトップシステムはサーバーよりもターゲットの招待がはるかに少ないことです。通常使用するリポジトリに修正が表示されるのを待つことになるでしょう。
ツァイスイコン14
@dobey:それがだまされているかどうかはわかりません-彼らは、それがタイムリーに更新されているかどうかではなく、修正されているかどうかを調べる方法を尋ねています。
トーマスウォード
@Mitchは、dobeyへの私の以前のコメントを参照してください。
トーマスウォード
「システム」= AWS上の10-20 VM、つまりサーバー。
Jxtps 14

回答:

14

あなたが探しているのはUbuntu Security Notificationsであり、それらはリポジトリに明確にリストされていません。 このページは、メインのUbuntuセキュリティ通知リストです。

個々のパッケージに関しては、セキュリティ修正に対処する更新は、独自の特別なリポジトリである-securityポケットにあります。Synapticを使用すると、「Origin」ビューに切り替えて、RELEASE-securityポケットにパッケージを表示できます。

すべてのCVEは、Ubuntu Security TeamのCVEトラッカーにもリストされています(具体的に参照されているCVEはこちら)。ここで参照するCVE-2014-9295の場合、まだ修正されていません。

更新プログラムが利用可能になるとsudo apt-get update; sudo apt-get upgrade、セキュリティリポジトリでリリースされると検出されます。

トーマス・ウォード
ソース
彼らはまた、持っている将来の参考のためにCVEトラッカーは、勝者である検索ページ
Jxtps
10

受け入れられた答えは正しいですが、パッケージの変更ログを表示することでこの情報を見つけることができることがよくあります。これは、CVEトラッカーやセキュリティ通知リストを調べるよりも簡単です。例えば:

sudo apt-get update
apt-get changelog ntp

上記のコマンドの出力には次のものが含まれます。

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

これは、あなたが言及したバグがubuntuリポジトリで修正されたことを明確に示しています。その後、次を実行できます。

sudo apt-get upgrade

修正をプルダウンします。

ラルフワイズ
ソース
0

パッケージの変更ログを確認することについて話していると思いますか?新機能、大きな大きな修正などを確認するには?Synaptic変更ログを試してダウンロードする簡単な方法があります。

または、変更ログが利用できない、または短すぎる場合、最良の方法は利用可能なバージョンをメモし、開発者のWebサイトにアクセスして、できればより詳細な変更を確認することです。

Xen2050
ソース
これを判断するために、変更ログをたどるのを避けたいと思っていました-影響の大きいCVEはパッケージページで呼び出されるように感じますが、それは別の日の機能リクエストです。
Jxtps
0

これらのコマンドを実行すると、リポジトリにある修正取得できますが、まだ修正されていない可能性があります。Update Notifierが有効になっている場合(トレイウィジェット)、システムまたはセキュリティの更新があるたびに通知を受け取ります(セキュリティの更新はそのように記録されます)。その後、パッチを強調することなく、Ubuntu向けにリリースされるとすぐにパッチを取得します。

ツァイス・イコン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.