19 votes

Jxtps avatar

Comment puis-je savoir si un CVE a été corrigé dans les dépôts d'Ubuntu ?

Demandé el 19 de Décembre, 2014
Quand la question a-t-elle été
11439 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Aujourd'hui, deux dépassements de tampon dans NTP ont été annoncés. 1 , 2 . Il semble qu'il faille mettre à jour mon système pour résoudre ces problèmes.

Comment puis-je savoir s'ils ont été corrigés dans les dépôts d'Ubuntu, de sorte que si je devais exécuter :

sudo apt-get update
sudo apt-get upgrade

puis le correctif serait installé et la vulnérabilité fermée ?

Edit : La réponse sélectionnée répond spécifiquement à la question de savoir comment identifier si un CVE donné a été corrigé ou non, "Est-ce qu'Ubuntu publie généralement des mises à jour de sécurité en temps opportun ?". 3 est certainement lié mais pas identique

Demandé el 19 de Décembre, 2014 par Jxtps

Réponses

Trop de publicités?

17voto

Joe the Person avatar
Joe the Person Points 5090

Ce que vous recherchez sont les notifications de sécurité d'Ubuntu et elles ne sont pas clairement listées dans les dépôts. Cette page est la liste principale des notifications de sécurité d'Ubuntu.

En ce qui concerne les paquets individuels, les mises à jour qui corrigent les problèmes de sécurité sont dans leur propre dépôt spécial, le -security poche. En utilisant Synaptic, vous pouvez passer à la vue "Origine", et voir les paquets dans la section RELEASE-security la poche.

Tous les CVE sont également répertoriés dans le Traqueur CVE de l'équipe de sécurité d'Ubuntu - avec votre CVE spécifiquement référencé aquí . Dans le cas de CVE-2014-9295 que vous mentionnez ici, il n'a pas encore été corrigé.

Une fois qu'une mise à jour est disponible, elle sera détectée par sudo apt-get update; sudo apt-get upgrade une fois qu'il sera publié dans le référentiel de sécurité.

Répondu el 19 de Décembre, 2014 par Joe the Person (5090 Points )

14voto

ralfthewise avatar
ralfthewise Points 241

Bien que la réponse acceptée soit correcte, je constate souvent que je peux trouver cette information en consultant le journal des modifications d'un paquet, ce qui est plus facile que de parcourir les trackers CVE ou la liste des notifications de sécurité. Par exemple :

sudo apt-get update
apt-get changelog ntp

La sortie de la commande ci-dessus comprend :

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Ce qui montre clairement que les bogues que vous avez mentionnés ont été corrigés dans les dépôts ubuntu. Vous pouvez alors exécuter :

sudo apt-get upgrade

pour faire tomber la réparation.

Répondu el 28 de Septembre, 2016 par ralfthewise (241 Points )

0voto

Xen2050 avatar
Xen2050 Points 8190

Je pense que vous parlez de vérifier le changelog d'un paquet ? Pour voir ce qu'il y a de nouveau, les principales corrections, etc. Synaptic a un moyen facile d'essayer et de télécharger les changelogs.

Si le journal des modifications n'est pas disponible ou est trop bref, le meilleur moyen est de noter la version disponible et de se rendre sur le site Web du développeur pour voir les modifications plus détaillées.

Répondu el 19 de Décembre, 2014 par Xen2050 (8190 Points )

0voto

Zeiss Ikon avatar
Zeiss Ikon Points 4839

Si vous exécutez ces commandes, vous obtiendrez tous les correctifs qui sont dans les référentiels -- mais ils ne le sont peut-être pas encore. Si vous avez activé Update Notifier (un widget de la barre d'état système), vous recevrez une notification chaque fois qu'il y aura des mises à jour du système ou de sécurité (et les mises à jour de sécurité seront indiquées comme telles). Vous obtiendrez alors les correctifs dès qu'ils seront disponibles pour Ubuntu, sans avoir à vous en préoccuper.

Répondu el 19 de Décembre, 2014 par Zeiss Ikon (4839 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X