मैं कैसे बता सकता हूं कि उबंटू के रिपॉजिटरी में एक सीवीई तय किया गया है या नहीं।

आज NTP में बफर के एक जोड़े को 1 , 2 की घोषणा की गई । ऐसा लगता है कि इन मुद्दों को ठीक करने के लिए मेरे सिस्टम को अपडेट करना क्रम में है।

मैं कैसे पता लगा सकता हूं कि क्या वे उबंटू रिपॉजिटरी में तय किए गए हैं, जैसे कि अगर मुझे चलाना है:

sudo apt-get update
sudo apt-get upgrade

तब फिक्स स्थापित हो जाएगा और भेद्यता बंद हो गई?

संपादित करें: चयनित उत्तर विशेष रूप से इस सवाल का समाधान करता है कि किसी दिए गए सीवीई को कैसे पहचाना जाए या नहीं, "क्या उबंटू आम तौर पर समय पर अद्यतन करता है?" 3 निश्चित रूप से संबंधित है लेकिन समान नहीं है

आप उबंटू सुरक्षा अधिसूचनाएं देख रहे हैं और वे रिपॉजिटरी में स्पष्ट रूप से सूचीबद्ध नहीं हैं। यह पृष्ठ मुख्य उबंटू सुरक्षा अधिसूचना सूची है।

अलग-अलग पैकेजों के लिए, सुरक्षा फ़िक्सेस को अपडेट करने वाले अपने स्वयं के विशेष भंडार में हैं -security। Synaptic का उपयोग करके, आप "मूल" दृश्य में स्विच कर सकते हैं, और RELEASE-securityजेब में पैकेज देख सकते हैं ।

सभी CVEs भी में सूचीबद्ध हैं उबंटू सुरक्षा टीम के CVE ट्रैकर अपने विशेष रूप से संदर्भित CVE साथ - यहाँ । CVE-2014-9295 के मामले में जिसे आप यहाँ संदर्भित करते हैं, यह अभी तक तय नहीं किया गया है।

एक बार अपडेट उपलब्ध होने के बाद, यह sudo apt-get update; sudo apt-get upgradeसुरक्षा भंडार में जारी होने के बाद पता लगाया जाएगा ।

जबकि स्वीकृत उत्तर सही है, मुझे अक्सर लगता है कि मैं पैकेज के चैंज को देखकर इस जानकारी का पता लगाने में सक्षम हूं, और यह सीवीई ट्रैकर्स या सुरक्षा सूचना सूचियों को परिमार्जन करने से ज्यादा आसान है। उदाहरण के लिए:

sudo apt-get update
apt-get changelog ntp

उपरोक्त कमांड के आउटपुट में शामिल हैं:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

जो स्पष्ट रूप से दर्शाता है कि आपके द्वारा बताए गए कीड़े ubuntu repositories में तय किए गए हैं। फिर आप चला सकते हैं:

sudo apt-get upgrade

तय करने के लिए नीचे खींचने के लिए।

मुझे लगता है कि आप पैकेज के चैंज की जांच करने की बात कर रहे हैं? यह देखने के लिए कि नया, बड़ा बड़ा सुधार आदि क्या है? Synapticचैंज करने और डाउनलोड करने का एक आसान तरीका है।

या अगर चैंज उपलब्ध नहीं है या बहुत संक्षिप्त है, तो उपलब्ध संस्करण को नोट करने का सबसे अच्छा तरीका हो सकता है, और डेवलपर वेबसाइट पर जाएं और उम्मीद से अधिक विस्तृत बदलाव देखें।

यदि आप उन आदेशों को चलाते हैं, तो आपको कोई सुधार मिलेगा जो रिपॉजिटरी में हैं - लेकिन वे अभी तक नहीं हो सकते हैं। यदि आपके पास अपडेट नोटिफ़ायर सक्षम है (एक ट्रे विजेट), तो आपको सिस्टम या सुरक्षा अपडेट (और सुरक्षा अपडेट जैसे ही नोट किए जाएंगे) मिल जाएगा। फिर आप उबंटू के लिए बाहर निकलते ही पैच प्राप्त करेंगे, बिना उन पर जोर डाले।