Як правило, Ubuntu публікує своєчасні оновлення безпеки?

Конкретна проблема: Пакет nirx Oneiric знаходиться у версії 1.0.5-1, випущений у липні 2011 року відповідно до журналу змін .

Недавня вразливість пам’яті щодо розкриття пам'яті ( дорадча сторінка , CVE-2012-1180 , DSA-2434-1 ) не зафіксована в 1.0.5-1. Якщо я не неправильно читаю сторінку Ubuntu CVE, всі версії Ubuntu, схоже, поставляють вразливий nginx.

1. Це правда?

   Якщо так: я подумав, що в Canonical є група з питань безпеки, яка активно працює над подібними питаннями, тому я очікувала отримати оновлення безпеки протягом короткого часу (годин або днів) apt-get update.

2. Чи сподіваюсь це сподівання - що постійне оновлення моїх пакунків достатньо для того, щоб зупинити мій сервер від відомих уразливостей?

3. Якщо так: Що мені робити, щоб захистити його? Читання повідомлень про безпеку Ubuntu не допомогло б у цьому випадку, оскільки вразливість nginx там ніколи не була розміщена.

В даний час Ubuntu поділяється на чотири компоненти: основний, обмежений, всесвітній та багатосвітковий. Основні та обмежені пакети підтримуються командою Ubuntu Security протягом життя випуску Ubuntu, тоді як пакети у Всесвіті та мультисередовищі підтримуються спільнотою Ubuntu. Докладнішу інформацію див. У FAQ щодо групи безпеки .

Оскільки nginx є компонентом Всесвіту, він не отримує оновлення від команди безпеки. Спільнота повинна вирішити проблеми безпеки в цьому пакеті. Точну процедуру дивіться тут .

Ви можете використовувати Програмний центр або інструмент ubuntu-support-statusкомандного рядка, щоб визначити, які пакети офіційно підтримуються та на який термін.

Оновлення в майбутньому : Nginx переходить до основного, тому отримає підтримку від команди безпеки Ubuntu в цей момент. Якщо ви не впевнені, чи буде ваша версія, просто подивіться apt-cache show nginxта шукайте тег "Розділ". Коли це в Main, ви отримуєте підтримку Canonical для цього.

Пакет nginx в ppa для точності знаходиться на рівні Version 1.1.17-2 uploaded on 2012-03-19.

Якщо вам потрібні виправлення для CVE, які все ще є кандидатом і не прийняті, ви можете розглянути можливість додавання пап .

Щодо цього конкретного пакета та помилки, ось декілька приміток із програми відслідковування помилок .

Пакети всередині основного сховища Ubuntu активно оновлюються Canonical. (Щоб бути частиною установки за замовчуванням, пакет повинен бути всередині основного.)

Однак для таких пакунків, як nginx, які знаходяться у "Всесвіті", тоді я не очікував би своєчасних оновлень безпеки. Це тому, що ці пакети підтримуються волонтерами, а не Canonical. Не було б розумним сподіватися, що компанія Canonical буде постійно контролювати десятки тисяч пакетів, що існують у Всесвіті.

Для пакетів, що знаходяться на дистрибутивах на базі Debian, таких як Ubuntu, патчі безпеки зворотно переноситься в поточний випуск. Версії випуску не оновлюються, оскільки це може ввести несумісні функції. Натомість команда безпеки (або сервіс, що підтримує пакет) застосує патч безпеки до поточної версії, випустивши виправлену версію.

1. Наразі розгорнута версія може бути вразлива, оскільки її не підтримує команда Ubuntu Security. Це не означає, що він вразливий, оскільки власник пакету, можливо, його зафіксував. Перевірте changelogв /usr/share/doc/nginxкаталозі, щоб побачити, чи підтримується патч безпеки. Якщо це не патч, можливо, він працює і доступний у випуску для тестування.

2. Ви вірно вважаєте, що оновлення сервера суттєво скоротить період запуску небезпечного програмного забезпечення. Є пакети, які можна налаштувати для автоматичного завантаження та необов'язкової установки оновлень. Вони також можуть повідомляти, які патчі були встановлені або готові до встановлення.

3. Для пакетів, які не підтримуються командою з безпеки, можливо, ви захочете звернути увагу на будь-які невирішені проблеми безпеки. Оцініть ризик, оскільки не всі вразливості можуть бути використані у всіх системах. Деякі можуть залежати від конфігурації або вимагати локального доступу. Інші можуть бути не такими важливими без інших проблем, наприклад, використовуючи перегоновий стан для заміни файлу з високими показниками ігор.