क्या उबंटू आम तौर पर समय पर सुरक्षा अद्यतन पोस्ट करता है?

ठोस मुद्दा: वनैरिक नेग्नेक्स पैकेज 1.0.5-1 संस्करण में है, जो जुलाई 2011 में चैंज के अनुसार जारी किया गया था ।

हाल ही में स्मृति-प्रकटीकरण भेद्यता ( सलाहकार पृष्ठ , CVE-2012-1180 , DSA-2434-1 ) 1.0.5-1 में निर्धारित नहीं है। यदि मैं उबंटू सीवीई पृष्ठ का गलत उपयोग नहीं कर रहा हूं, तो सभी उबंटू संस्करण एक कमजोर नगीने को शिप करते प्रतीत होते हैं।

1. क्या ये सच है?

   यदि ऐसा है: मुझे लगा कि कैन्यनिकल में एक सुरक्षा दल था जो सक्रिय रूप से इस तरह के मुद्दों पर काम कर रहा है, इसलिए मुझे कम समय सीमा (घंटों या दिनों) के माध्यम से एक सुरक्षा अद्यतन प्राप्त होने की उम्मीद थी apt-get update।

2. क्या यह अपेक्षा है - कि मेरे पैकेज को अप-टू-डेट रखना मेरे सर्वर को ज्ञात कमजोरियों से रोकने के लिए पर्याप्त है - आम तौर पर गलत है?

3. यदि ऐसा है: तो मुझे इसे सुरक्षित रखने के लिए क्या करना चाहिए? उबंटू सुरक्षा नोटिस पढ़ने से इस मामले में मदद नहीं मिली होगी, क्योंकि नेग्नेक्स भेद्यता वहां कभी भी पोस्ट नहीं की गई थी।

उबंटू को वर्तमान में चार घटकों में विभाजित किया गया है: मुख्य, प्रतिबंधित, ब्रह्मांड और मल्टीवर्स। उबंटू रिलीज के जीवन के लिए उबंटू सुरक्षा टीम द्वारा मुख्य और प्रतिबंधित पैकेजों का समर्थन किया जाता है, जबकि ब्रह्मांड और मल्टीवर्स में पैकेज उबंटू समुदाय द्वारा समर्थित हैं। देखें सुरक्षा टीम पूछे जाने वाले प्रश्न अधिक जानकारी के लिए।

चूंकि nginx यूनिवर्स घटक में है, इसलिए इसे सुरक्षा टीम से अपडेट नहीं मिलता है। यह उस पैकेज में सुरक्षा मुद्दों को ठीक करने के लिए समुदाय पर निर्भर है। सटीक प्रक्रिया के लिए यहां देखें ।

आप सॉफ़्टवेयर केंद्र या ubuntu-support-statusकमांड लाइन टूल का उपयोग यह निर्धारित करने के लिए कर सकते हैं कि कौन से पैकेज आधिकारिक तौर पर समर्थित हैं, और कितने समय के लिए।

भविष्य से अपडेट : नाज़िनक्स मुख्य रूप से आगे बढ़ रहा है, इसलिए उस बिंदु पर उबंटू सुरक्षा टीम से समर्थन प्राप्त होगा । यदि आप अनिश्चित हैं कि आपका संस्करण होगा, तो बस apt-cache show nginx"अनुभाग" टैग देखें और देखें। जब वह मेन में होता है, तो आपको इसके लिए कैननिकल सपोर्ट मिल रहा है।

सटीक में ppa में nginx पैकेज पर है Version 1.1.17-2 uploaded on 2012-03-19।

यदि आपको CVE के लिए पैच चाहिए जो अभी भी उम्मीदवार में हैं और स्वीकार नहीं किए गए हैं, तो आप ppas जोड़ने पर विचार कर सकते हैं ।

इस विशेष पैकेज और बग पर यहां पैकेज बग ट्रैकर से कुछ नोट हैं ।

उबंटू 'मुख्य' भंडार के अंदर के पैकेज सक्रिय रूप से कैन्यनिकल द्वारा अद्यतित रखे गए हैं। (डिफ़ॉल्ट स्थापना का हिस्सा बनने के लिए, एक पैकेज मुख्य के अंदर होना चाहिए।)

हालांकि, नगीनेक्स जैसे पैकेज के लिए, जो कि "ब्रह्मांड" में हैं, तब मुझे समय पर सुरक्षा अपडेट की उम्मीद नहीं होगी। यह इसलिए है क्योंकि इन पैकेजों को कैन्यन के बजाय स्वयंसेवकों द्वारा बनाए रखा जाता है। ब्रह्मांड में विद्यमान हज़ारों पैकेजों की निरंतर निगरानी करने के लिए कैनोनिकल से अपेक्षा करना उचित नहीं होगा।

उबंटू जैसे डेबियन आधारित वितरण पर मौजूद पैकेजों के लिए, सुरक्षा पैच को वर्तमान रिलीज़ में वापस भेज दिया गया है। रिलीज़ संस्करण अपडेट नहीं किए गए हैं जो असंगत सुविधाओं का परिचय दे सकते हैं। इसके बजाय सुरक्षा टीम (या पैकेज मेंटेनर) सुरक्षा पैच को वर्तमान संस्करण में रिलीज़ किए गए पैच संस्करण को लागू करेगा।

1. वर्तमान में परिनियोजित संस्करण असुरक्षित हो सकता है क्योंकि यह उबंटू सुरक्षा दल द्वारा समर्थित नहीं है। इसका मतलब यह नहीं है कि यह असुरक्षित है क्योंकि पैकेज मेंटेनर ने इसे पैच कर दिया होगा। निर्देशिका changelogमें जाँच करें कि /usr/share/doc/nginxसुरक्षा पैच बैकपोर्ट किया गया है या नहीं। यदि पैच प्रगति में नहीं है और परीक्षण रिलीज में उपलब्ध हो सकता है।

2. आप यह मानने में सही हैं कि आपके सर्वर को अद्यतित रखने से आप असुरक्षित सॉफ़्टवेयर चला रहे अवधि को काफी कम कर देंगे। ऐसे पैकेज हैं जिन्हें स्वचालित रूप से डाउनलोड और वैकल्पिक इंस्टॉल अपडेट के लिए कॉन्फ़िगर किया जा सकता है। ये भी सूचित कर सकते हैं कि कौन से पैच स्थापित किए गए थे, या स्थापना के लिए तैयार हैं।

3. सुरक्षा टीम द्वारा समर्थित पैकेज के लिए, आप किसी भी बकाया सुरक्षा मुद्दों पर ध्यान देना चाह सकते हैं। जोखिम का मूल्यांकन करें क्योंकि सभी सिस्टम पर सभी कमजोरियां शोषक नहीं हैं। कुछ कॉन्फ़िगरेशन निर्भर हो सकते हैं या स्थानीय पहुँच की आवश्यकता हो सकती है। अन्य समस्याओं के बिना अन्य महत्वपूर्ण नहीं हो सकते हैं, उदाहरण के लिए एक खेल उच्च स्कोर फ़ाइल को बदलने के लिए एक दौड़ की स्थिति का शोषण करना।