우분투는 일반적으로 적시에 보안 업데이트를 게시합니까? 페이지를 잘못 읽지 않으면 모든 Ubuntu 버전이

구체적인 문제 : Oneiric nginx 패키지 는 버전 1.0.5-1이며, changelog 에 따르면 2011 년 7 월에 릴리스되었습니다 .

최신 메모리 공개 취약성 ( 자문 페이지 , CVE-2012-1180 , DSA-2434-1 )은 1.0.5-1에서 수정되지 않았습니다. Ubuntu CVE 페이지를 잘못 읽지 않으면 모든 Ubuntu 버전이 취약한 nginx를 제공하는 것으로 보입니다.

  1. 이것이 사실입니까?

    그렇다면 : Canonical에는 이와 같은 문제를 적극적으로 해결하는 보안 팀이 있다고 생각했기 때문에 짧은 시간 (시간 또는 일) 내내 보안 업데이트를받을 것으로 예상했습니다 apt-get update.

  2. 패키지를 최신 상태로 유지하는 것만으로도 서버에 알려진 취약점이있는 것을 막을 수있을 것으로 예상 되는가?

  3. 그렇다면 : 보안을 유지하려면 어떻게해야합니까? 이 경우 nginx 취약점이 게시되지 않았으므로 Ubuntu 보안 공지를 읽는 데 도움이되지 않았습니다.



답변

우분투는 현재 기본, 제한, 우주 및 다중 우주의 네 가지 구성 요소로 나뉩니다. Ubuntu 릴리스 기간 동안 Ubuntu 보안 팀은 기본 패키지와 제한된 패키지를 지원하며 Ubuntu 커뮤니티는 유니버스 및 멀티 버스 패키지를 지원합니다. 자세한 내용 은 보안 팀 FAQ 를 참조하십시오.

nginx는 Universe 구성 요소에 있으므로 보안 팀으로부터 업데이트를받지 않습니다. 해당 패키지의 보안 문제를 해결하는 것은 커뮤니티의 책임입니다. 정확한 절차는 여기를 참조 하십시오 .

Software Center 또는 ubuntu-support-status명령 줄 도구를 사용하여 공식적으로 지원되는 패키지와 기간을 확인할 수 있습니다.


향후 업데이트 : Nginx가 메인으로 이전하고 있으므로 해당 시점에서 Ubuntu 보안 팀의 지원을받을 입니다. 버전이 확실하지 않은 경우 apt-cache show nginx“섹션”태그를 확인하십시오. 그것이 Main에있을 때, 당신은 그것에 대한 정식 지원을 받고 있습니다.


답변

정확한 nginx 패키지는 ppa입니다 Version 1.1.17-2 uploaded on 2012-03-19.

아직 후보자이며 승인되지 않은 CVE에 대한 패치가 필요한 경우 ppas 추가를 고려할 수 있습니다 .

이 특정 패키지 및 버그 에 패키지 버그 추적기의 참고 사항이 있습니다 .


답변

Ubuntu ‘main’리포지토리 내의 패키지는 Canonical에서 능동적으로 최신 상태로 유지합니다. (기본 설치의 일부가 되려면 패키지가 기본 내부에 있어야합니다.)

그러나 “유니버스”에있는 nginx와 같은 패키지의 경우 적절한 보안 업데이트가 필요하지 않습니다. 이러한 패키지는 Canonical이 아닌 자원 봉사자가 유지 관리하기 때문입니다. Canonical이 우주에 존재하는 수만 개의 패키지를 지속적으로 모니터링 할 것으로 기대하는 것은 합리적이지 않습니다.


답변

Ubuntu와 같은 데비안 기반 배포판에있는 패키지의 경우 보안 패치가 현재 릴리스로 백 포트됩니다. 호환되지 않는 기능이 도입 될 수 있으므로 릴리스 버전은 업데이트되지 않습니다. 대신 보안 팀 (또는 패키지 관리자)은 보안 패치를 현재 버전에 적용하고 릴리스 된 패치 버전을 적용합니다.

  1. 현재 배포 된 버전은 Ubuntu 보안 팀에서 지원하지 않으므로 취약 할 수 있습니다. 그렇다고 패키지 관리자가 패치했을 수 있으므로 취약하다는 의미는 아닙니다. 을 확인 changelog/usr/share/doc/nginx보안 패치가 백 포트되었습니다 있는지 확인하기 위해 디렉토리. 그렇지 않은 경우 패치가 진행 중이며 테스트 릴리스에서 사용 가능할 수 있습니다.

  2. 서버를 최신 상태로 유지하면 안전하지 않은 소프트웨어를 실행하는 기간이 크게 줄어든다고 가정하는 것이 맞습니다. 자동 다운로드 및 선택적 설치 업데이트를 위해 구성 할 수있는 패키지가 있습니다. 또한 설치된 패치 또는 설치 준비가 된 패치를 알릴 수 있습니다.

  3. 보안 팀에서 지원하지 않는 패키지의 경우, 현저한 보안 문제에주의를 기울일 수 있습니다. 모든 시스템에서 모든 취약점을 악용 할 수있는 것은 아니므로 위험을 평가하십시오. 일부는 구성에 따라 다르거 나 로컬 액세스가 필요할 수 있습니다. 예를 들어 게임 최고 점수 파일을 대체하기 위해 경쟁 조건을 이용하는 등 다른 문제가없는 경우도 있습니다.


답변