क्या उबंटू आम तौर पर समय पर सुरक्षा अद्यतन पोस्ट करता है?


32

ठोस मुद्दा: वनैरिक नेग्नेक्स पैकेज 1.0.5-1 संस्करण में है, जो जुलाई 2011 में चैंज के अनुसार जारी किया गया था ।

हाल ही में स्मृति-प्रकटीकरण भेद्यता ( सलाहकार पृष्ठ , CVE-2012-1180 , DSA-2434-1 ) 1.0.5-1 में निर्धारित नहीं है। यदि मैं उबंटू सीवीई पृष्ठ का गलत उपयोग नहीं कर रहा हूं, तो सभी उबंटू संस्करण एक कमजोर नगीने को शिप करते प्रतीत होते हैं।

  1. क्या ये सच है?

    यदि ऐसा है: मुझे लगा कि कैन्यनिकल में एक सुरक्षा दल था जो सक्रिय रूप से इस तरह के मुद्दों पर काम कर रहा है, इसलिए मुझे कम समय सीमा (घंटों या दिनों) के माध्यम से एक सुरक्षा अद्यतन प्राप्त होने की उम्मीद थी apt-get update

  2. क्या यह अपेक्षा है - कि मेरे पैकेज को अप-टू-डेट रखना मेरे सर्वर को ज्ञात कमजोरियों से रोकने के लिए पर्याप्त है - आम तौर पर गलत है?

  3. यदि ऐसा है: तो मुझे इसे सुरक्षित रखने के लिए क्या करना चाहिए? उबंटू सुरक्षा नोटिस पढ़ने से इस मामले में मदद नहीं मिली होगी, क्योंकि नेग्नेक्स भेद्यता वहां कभी भी पोस्ट नहीं की गई थी।


4
मैं + 1-ed को उद्धृत करने के लिए एक ठोस मुद्दा रखने के लिए।
रोबोटहुम्स

जवाबों:


39

उबंटू को वर्तमान में चार घटकों में विभाजित किया गया है: मुख्य, प्रतिबंधित, ब्रह्मांड और मल्टीवर्स। उबंटू रिलीज के जीवन के लिए उबंटू सुरक्षा टीम द्वारा मुख्य और प्रतिबंधित पैकेजों का समर्थन किया जाता है, जबकि ब्रह्मांड और मल्टीवर्स में पैकेज उबंटू समुदाय द्वारा समर्थित हैं। देखें सुरक्षा टीम पूछे जाने वाले प्रश्न अधिक जानकारी के लिए।

चूंकि nginx यूनिवर्स घटक में है, इसलिए इसे सुरक्षा टीम से अपडेट नहीं मिलता है। यह उस पैकेज में सुरक्षा मुद्दों को ठीक करने के लिए समुदाय पर निर्भर है। सटीक प्रक्रिया के लिए यहां देखें ।

आप सॉफ़्टवेयर केंद्र या ubuntu-support-statusकमांड लाइन टूल का उपयोग यह निर्धारित करने के लिए कर सकते हैं कि कौन से पैकेज आधिकारिक तौर पर समर्थित हैं, और कितने समय के लिए।


भविष्य से अपडेट : नाज़िनक्स मुख्य रूप से आगे बढ़ रहा है, इसलिए उस बिंदु पर उबंटू सुरक्षा टीम से समर्थन प्राप्त होगा । यदि आप अनिश्चित हैं कि आपका संस्करण होगा, तो बस apt-cache show nginx"अनुभाग" टैग देखें और देखें। जब वह मेन में होता है, तो आपको इसके लिए कैननिकल सपोर्ट मिल रहा है।


ध्यान दें कि उबंटु-समर्थन-स्थिति छोटी है, इसलिए आपके पास इसके साथ बहुत अच्छी किस्मत नहीं हो सकती है: बग्सलाउन्चैप्ड.नेट
बेन

14

सटीक में ppa में nginx पैकेज पर है Version 1.1.17-2 uploaded on 2012-03-19

यदि आपको CVE के लिए पैच चाहिए जो अभी भी उम्मीदवार में हैं और स्वीकार नहीं किए गए हैं, तो आप ppas जोड़ने पर विचार कर सकते हैं ।

इस विशेष पैकेज और बग पर यहां पैकेज बग ट्रैकर से कुछ नोट हैं ।


4

उबंटू 'मुख्य' भंडार के अंदर के पैकेज सक्रिय रूप से कैन्यनिकल द्वारा अद्यतित रखे गए हैं। (डिफ़ॉल्ट स्थापना का हिस्सा बनने के लिए, एक पैकेज मुख्य के अंदर होना चाहिए।)

हालांकि, नगीनेक्स जैसे पैकेज के लिए, जो कि "ब्रह्मांड" में हैं, तब मुझे समय पर सुरक्षा अपडेट की उम्मीद नहीं होगी। यह इसलिए है क्योंकि इन पैकेजों को कैन्यन के बजाय स्वयंसेवकों द्वारा बनाए रखा जाता है। ब्रह्मांड में विद्यमान हज़ारों पैकेजों की निरंतर निगरानी करने के लिए कैनोनिकल से अपेक्षा करना उचित नहीं होगा।


1

उबंटू जैसे डेबियन आधारित वितरण पर मौजूद पैकेजों के लिए, सुरक्षा पैच को वर्तमान रिलीज़ में वापस भेज दिया गया है। रिलीज़ संस्करण अपडेट नहीं किए गए हैं जो असंगत सुविधाओं का परिचय दे सकते हैं। इसके बजाय सुरक्षा टीम (या पैकेज मेंटेनर) सुरक्षा पैच को वर्तमान संस्करण में रिलीज़ किए गए पैच संस्करण को लागू करेगा।

  1. वर्तमान में परिनियोजित संस्करण असुरक्षित हो सकता है क्योंकि यह उबंटू सुरक्षा दल द्वारा समर्थित नहीं है। इसका मतलब यह नहीं है कि यह असुरक्षित है क्योंकि पैकेज मेंटेनर ने इसे पैच कर दिया होगा। निर्देशिका changelogमें जाँच करें कि /usr/share/doc/nginxसुरक्षा पैच बैकपोर्ट किया गया है या नहीं। यदि पैच प्रगति में नहीं है और परीक्षण रिलीज में उपलब्ध हो सकता है।

  2. आप यह मानने में सही हैं कि आपके सर्वर को अद्यतित रखने से आप असुरक्षित सॉफ़्टवेयर चला रहे अवधि को काफी कम कर देंगे। ऐसे पैकेज हैं जिन्हें स्वचालित रूप से डाउनलोड और वैकल्पिक इंस्टॉल अपडेट के लिए कॉन्फ़िगर किया जा सकता है। ये भी सूचित कर सकते हैं कि कौन से पैच स्थापित किए गए थे, या स्थापना के लिए तैयार हैं।

  3. सुरक्षा टीम द्वारा समर्थित पैकेज के लिए, आप किसी भी बकाया सुरक्षा मुद्दों पर ध्यान देना चाह सकते हैं। जोखिम का मूल्यांकन करें क्योंकि सभी सिस्टम पर सभी कमजोरियां शोषक नहीं हैं। कुछ कॉन्फ़िगरेशन निर्भर हो सकते हैं या स्थानीय पहुँच की आवश्यकता हो सकती है। अन्य समस्याओं के बिना अन्य महत्वपूर्ण नहीं हो सकते हैं, उदाहरण के लिए एक खेल उच्च स्कोर फ़ाइल को बदलने के लिए एक दौड़ की स्थिति का शोषण करना।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.