우분투 리포지토리에서 CVE가 수정되었는지 어떻게 알 수 있습니까?

15

오늘 NTP의 몇 가지 버퍼 오버플로가 1 , 2 로 발표되었습니다 . 이 문제를 해결하기 위해 시스템을 업데이트하는 것 같습니다.

우분투 리포지토리에서 수정되었는지 확인하려면 어떻게해야합니까?

sudo apt-get update
sudo apt-get upgrade

수정 프로그램이 설치되고 취약점이 종료됩니까?

편집 : 선택한 답변은 특정 CVE가 수정되었는지 여부를 식별하는 방법에 대한 질문을 구체적으로 설명합니다. "우분투는 일반적으로 적시에 보안 업데이트를 게시합니까?" 3 은 확실히 관련되어 있지만 동일하지는 않습니다.

apt security

— Jxtps
소스

런치 패드에서 발표 될 것 외에는 특정 수정 사항이 패키지에 있는지 여부를 어떻게 알 수 있는지 잘 모르겠습니다. 다음을 실행하여 설치 한 버전과 사용 가능한 버전을 모두 알 수 있습니다apt-cache policy ntp

— Charles Green

고려해야 할 또 다른 사항은 데스크탑 시스템이 서버보다 초대 대상이 적다는 것입니다. 일반적으로 사용하는 리포지토리에 수정 프로그램이 표시 될 때까지 기다리는 것이 좋습니다.

— Zeiss Ikon

@dobey : 그것은 속임수인지 확실하지 않습니다-적시에 업데이트되었는지 여부가 아니라 수정되었는지 확인하는 방법을 묻습니다.

— 토마스 워드

@Mitch dobey에 대한 내 이전 의견을 참조하십시오.

— 토마스 워드

"시스템"= AWS에서 10-20 개의 VM, 따라서 서버.

— Jxtps December

14

당신이 찾고있는 것은 우분투 보안 알림이며 저장소에 명확하게 나열되어 있지 않습니다. 이 페이지는 주요 우분투 보안 알림 목록입니다.

개별 패키지의 경우 보안 수정 사항을 해결하는 업데이트는 자체 특수 저장소 인 -security주머니에 있습니다. Synaptic을 사용하면 "Origin"보기로 전환하여 RELEASE-security주머니 에있는 패키지를 볼 수 있습니다.

모든 CVE는 Ubuntu 보안 팀의 CVE 추적기에 나열되며 여기에서 구체적으로 참조 된 CVE가 있습니다 . 여기에서 참조하는 CVE-2014-9295의 경우 아직 수정되지 않았습니다.

사용 가능한 업데이트가 있으면 sudo apt-get update; sudo apt-get upgrade보안 리포지토리에 릴리스 된 후에 검색됩니다.

— 토마스 워드
소스

CVE 추적기는 또한이 미래 참조 승자입니다 검색 페이지

— Jxtps

10

수락 된 답변은 정확하지만 패키지의 변경 로그를 보면이 정보를 찾을 수 있으며 CVE 추적기 또는 보안 알림 목록을 검색하는 것보다 쉽습니다. 예를 들면 다음과 같습니다.

sudo apt-get update
apt-get changelog ntp

위 명령의 출력은 다음과 같습니다.

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

언급 한 버그가 우분투 저장소에서 수정되었음을 분명히 보여줍니다. 그런 다음 다음을 실행할 수 있습니다.

sudo apt-get upgrade

수정을 내리십시오.

— 랠프
소스

0

패키지의 변경 로그를 확인하는 것에 대해 이야기하고 있다고 생각하십니까? 새로운 주요 수정 사항 등을 보려면? Synaptic변경 로그를 시도하고 다운로드하는 쉬운 방법이 있습니다.

또는 변경 로그를 사용할 수 없거나 너무 짧으면 사용 가능한 버전을 확인하고 개발자 웹 사이트로 이동하여 더 자세한 변경 사항을 확인하는 것이 가장 좋습니다.

— Xen2050
소스

CVE가 패키지 페이지에서 호출해야한다고 생각하는 큰 영향을 미치기 위해 변경 로그를 넘어 가지 않기를 바랐지만 이는 다른 날의 기능 요청입니다.

— Jxtps December

0

해당 명령을 실행 하면 리포지토리에 있는 수정 사항 이 있지만 아직 수정되지 않았습니다. 업데이트 알리미를 사용하도록 설정 한 경우 (트레이 위젯) 시스템 또는 보안 업데이트가있을 때마다 알림이 표시됩니다 (보안 업데이트도 이와 같이 표시됩니다). 그런 다음 패치를 강조하지 않고도 우분투에 나올 때마다 패치를 얻을 수 있습니다.

— 자이스 이콘
소스