Як я можу визначити, чи було встановлено CVE у сховищах Ubuntu?

Сьогодні було оголошено пару переповнення буфера в NTP 1 , 2 . Схоже, оновлення моєї системи для усунення цих проблем в порядку.

Як я можу дізнатись, чи були вони зафіксовані в сховищах Ubuntu, таким чином, якщо я запускаю:

sudo apt-get update
sudo apt-get upgrade

тоді виправлення буде встановлено, а вразливість закрита?

Редагувати: Вибрана відповідь конкретно стосується питання про те, як визначити, чи був встановлений CVE виправлений чи ні: "Чи зазвичай Ubuntu публікує своєчасні оновлення безпеки?" 3 , безумовно, пов'язані, але не тотожні

Що ви шукаєте, це повідомлення про безпеку Ubuntu, і вони чітко не вказані у сховищах. Ця сторінка є основним списком сповіщень про безпеку Ubuntu.

Що стосується окремих пакетів, оновлення, які стосуються виправлень безпеки, знаходяться у власному спеціальному сховищі, -securityкишені. Використовуючи Synaptic, ви можете переключитися на перегляд «Походження» та побачити пакети в RELEASE-securityкишені.

Усі CVE також перераховані в трекері CVE команди безпеки Ubuntu - з вашим спеціально посилається CVE тут . У випадку CVE-2014-9295, на який ви посилаєтесь, він ще не був виправлений.

Щойно оновлення буде доступне, воно буде виявлено, sudo apt-get update; sudo apt-get upgradeколи воно вийде у сховище безпеки.

Хоча прийнята відповідь правильна, я часто виявляю, що я можу дізнатися цю інформацію, переглянувши журнал змін пакету, і це простіше, ніж переглядати трекери CVE або перелік повідомлень про безпеку. Наприклад:

sudo apt-get update
apt-get changelog ntp

Вихід з вищевказаної команди включає:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Це чітко показує, що помилки, про які ви згадали, були виправлені у сховищах ubuntu. Потім можна запустити:

sudo apt-get upgrade

зняти виправлення.

Я думаю, ти говориш про перевірку журналу змін пакета? Щоб побачити, що нового, основні великі виправлення тощо? Synapticє простий спосіб спробувати і завантажити журнали змін.

Або якщо журнал змін не доступний або занадто короткий, найкращим способом може бути відмітка доступної версії та перейти на веб-сайт розробника і побачити, сподіваємось, детальніші зміни.

Якщо запустити ці команди, ви отримаєте будь-які виправлення, які знаходяться у сховищах, але таких, можливо, ще не буде. Якщо увімкнено функцію оновлення повідомлень (віджет лотка), ви отримаєте сповіщення про оновлення системи чи безпеки (і оновлення безпеки будуть відмічені як такі). Тоді ви отримаєте виправлення, як тільки вони виявляться за Ubuntu, не напружуючи їх.