मैं कैसे बता सकता हूं कि उबंटू के रिपॉजिटरी में एक सीवीई तय किया गया है या नहीं।


15

आज NTP में बफर के एक जोड़े को 1 , 2 की घोषणा की गई । ऐसा लगता है कि इन मुद्दों को ठीक करने के लिए मेरे सिस्टम को अपडेट करना क्रम में है।

मैं कैसे पता लगा सकता हूं कि क्या वे उबंटू रिपॉजिटरी में तय किए गए हैं, जैसे कि अगर मुझे चलाना है:

sudo apt-get update
sudo apt-get upgrade

तब फिक्स स्थापित हो जाएगा और भेद्यता बंद हो गई?

संपादित करें: चयनित उत्तर विशेष रूप से इस सवाल का समाधान करता है कि किसी दिए गए सीवीई को कैसे पहचाना जाए या नहीं, "क्या उबंटू आम तौर पर समय पर अद्यतन करता है?" 3 निश्चित रूप से संबंधित है लेकिन समान नहीं है


मुझे यकीन नहीं है कि आप कैसे बता सकते हैं कि एक विशिष्ट फिक्स एक पैकेज में है, सिवाय इसके कि शायद लॉन्चपैड पर इसकी घोषणा की जाएगी। आप अपने द्वारा इंस्टॉल किए गए संस्करण और चलाने के द्वारा उपलब्ध संस्करण दोनों को बता सकते हैंapt-cache policy ntp
चार्ल्स ग्रीन

एक और बात पर विचार करना है कि डेस्कटॉप सिस्टम सर्वर की तुलना में लक्ष्य को कम आमंत्रित कर रहे हैं। आपके द्वारा सामान्य रूप से उपयोग की जाने वाली रिपॉजिटरी में दिखाने के लिए एक फिक्स के इंतजार के लिए आप सबसे अधिक संभावना है।
ज़ीस आइकॉन

@dobey: यकीन नहीं है कि यह एक डुबकी है - वे पूछ रहे हैं कि कैसे पता लगाया जाए कि क्या यह तय हो गया है, न कि यह समय पर अद्यतन किया गया है।
थॉमस वार्ड

@ मिच मेरी पिछली टिप्पणी को देखें
थॉमस वार्ड

"सिस्टम" = एडब्ल्यूएस पर 10-20 वीएम, इसलिए सर्वर।
Jxtps

जवाबों:


14

आप उबंटू सुरक्षा अधिसूचनाएं देख रहे हैं और वे रिपॉजिटरी में स्पष्ट रूप से सूचीबद्ध नहीं हैं। यह पृष्ठ मुख्य उबंटू सुरक्षा अधिसूचना सूची है।

अलग-अलग पैकेजों के लिए, सुरक्षा फ़िक्सेस को अपडेट करने वाले अपने स्वयं के विशेष भंडार में हैं -security। Synaptic का उपयोग करके, आप "मूल" दृश्य में स्विच कर सकते हैं, और RELEASE-securityजेब में पैकेज देख सकते हैं ।

सभी CVEs भी में सूचीबद्ध हैं उबंटू सुरक्षा टीम के CVE ट्रैकर अपने विशेष रूप से संदर्भित CVE साथ - यहाँ । CVE-2014-9295 के मामले में जिसे आप यहाँ संदर्भित करते हैं, यह अभी तक तय नहीं किया गया है।

एक बार अपडेट उपलब्ध होने के बाद, यह sudo apt-get update; sudo apt-get upgradeसुरक्षा भंडार में जारी होने के बाद पता लगाया जाएगा ।


CVE ट्रैकर एक विजेता है, भविष्य के संदर्भ के लिए उनके पास एक खोज पृष्ठ
Jxtps

10

जबकि स्वीकृत उत्तर सही है, मुझे अक्सर लगता है कि मैं पैकेज के चैंज को देखकर इस जानकारी का पता लगाने में सक्षम हूं, और यह सीवीई ट्रैकर्स या सुरक्षा सूचना सूचियों को परिमार्जन करने से ज्यादा आसान है। उदाहरण के लिए:

sudo apt-get update
apt-get changelog ntp

उपरोक्त कमांड के आउटपुट में शामिल हैं:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

जो स्पष्ट रूप से दर्शाता है कि आपके द्वारा बताए गए कीड़े ubuntu repositories में तय किए गए हैं। फिर आप चला सकते हैं:

sudo apt-get upgrade

तय करने के लिए नीचे खींचने के लिए।


0

मुझे लगता है कि आप पैकेज के चैंज की जांच करने की बात कर रहे हैं? यह देखने के लिए कि नया, बड़ा बड़ा सुधार आदि क्या है? Synapticचैंज करने और डाउनलोड करने का एक आसान तरीका है।

या अगर चैंज उपलब्ध नहीं है या बहुत संक्षिप्त है, तो उपलब्ध संस्करण को नोट करने का सबसे अच्छा तरीका हो सकता है, और डेवलपर वेबसाइट पर जाएं और उम्मीद से अधिक विस्तृत बदलाव देखें।


मैं यह निर्धारित करने के लिए चैंज के माध्यम से वैडिंग से बचने की उम्मीद कर रहा था - उच्च प्रभाव सीवीई को ऐसा लगता है कि उन्हें पैकेज पृष्ठों पर बुलाया जाना चाहिए, लेकिन यह एक और दिन के लिए एक सुविधा अनुरोध है।
Jxtps

0

यदि आप उन आदेशों को चलाते हैं, तो आपको कोई सुधार मिलेगा जो रिपॉजिटरी में हैं - लेकिन वे अभी तक नहीं हो सकते हैं। यदि आपके पास अपडेट नोटिफ़ायर सक्षम है (एक ट्रे विजेट), तो आपको सिस्टम या सुरक्षा अपडेट (और सुरक्षा अपडेट जैसे ही नोट किए जाएंगे) मिल जाएगा। फिर आप उबंटू के लिए बाहर निकलते ही पैच प्राप्त करेंगे, बिना उन पर जोर डाले।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.