태그 보관물: security

security

우분투 리포지토리에서 CVE가 수정되었는지 어떻게 알 수 있습니까? 어떻게해야합니까? sudo

오늘 NTP의 몇 가지 버퍼 오버플로가 1 , 2 로 발표되었습니다 . 이 문제를 해결하기 위해 시스템을 업데이트하는 것 같습니다.

우분투 리포지토리에서 수정되었는지 확인하려면 어떻게해야합니까?

sudo apt-get update
sudo apt-get upgrade

수정 프로그램이 설치되고 취약점이 종료됩니까?

편집 : 선택한 답변은 특정 CVE가 수정되었는지 여부를 식별하는 방법에 대한 질문을 구체적으로 설명합니다. “우분투는 일반적으로 적시에 보안 업데이트를 게시합니까?” 3 은 확실히 관련되어 있지만 동일하지는 않습니다.



답변

당신이 찾고있는 것은 우분투 보안 알림이며 저장소에 명확하게 나열되어 있지 않습니다. 이 페이지는 주요 우분투 보안 알림 목록입니다.

개별 패키지의 경우 보안 수정 사항을 해결하는 업데이트는 자체 특수 저장소 인 -security주머니에 있습니다. Synaptic을 사용하면 “Origin”보기로 전환하여 RELEASE-security주머니 에있는 패키지를 볼 수 있습니다.

모든 CVE는 Ubuntu 보안 팀의 CVE 추적기에 나열되며 여기에서 구체적으로 참조 된 CVE가 있습니다 . 여기에서 참조하는 CVE-2014-9295의 경우 아직 수정되지 않았습니다.

사용 가능한 업데이트가 있으면 sudo apt-get update; sudo apt-get upgrade보안 리포지토리에 릴리스 된 후에 검색됩니다.


답변

수락 된 답변은 정확하지만 패키지의 변경 로그를 보면이 정보를 찾을 수 있으며 CVE 추적기 또는 보안 알림 목록을 검색하는 것보다 쉽습니다. 예를 들면 다음과 같습니다.

sudo apt-get update
apt-get changelog ntp

위 명령의 출력은 다음과 같습니다.

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

언급 한 버그가 우분투 저장소에서 수정되었음을 분명히 보여줍니다. 그런 다음 다음을 실행할 수 있습니다.

sudo apt-get upgrade

수정을 내리십시오.


답변

패키지의 변경 로그를 확인하는 것에 대해 이야기하고 있다고 생각하십니까? 새로운 주요 수정 사항 등을 보려면? Synaptic변경 로그를 시도하고 다운로드하는 쉬운 방법이 있습니다.

또는 변경 로그를 사용할 수 없거나 너무 짧으면 사용 가능한 버전을 확인하고 개발자 웹 사이트로 이동하여 더 자세한 변경 사항을 확인하는 것이 가장 좋습니다.


답변

해당 명령을 실행 하면 리포지토리에 있는 수정 사항 있지만 아직 수정되지 않았습니다. 업데이트 알리미를 사용하도록 설정 한 경우 (트레이 위젯) 시스템 또는 보안 업데이트가있을 때마다 알림이 표시됩니다 (보안 업데이트도 이와 같이 표시됩니다). 그런 다음 패치를 강조하지 않고도 우분투에 나올 때마다 패치를 얻을 수 있습니다.


답변