¿Ubuntu generalmente publica actualizaciones de seguridad oportunas?

32

Problema concreto: el paquete Oneiric nginx está en la versión 1.0.5-1, lanzado en julio de 2011 según el registro de cambios .

La reciente vulnerabilidad de divulgación de memoria ( página de aviso , CVE-2012-1180 , DSA-2434-1 ) no se corrigió en 1.0.5-1. Si no estoy leyendo mal la página Ubuntu CVE, todas las versiones de Ubuntu parecen enviar un nginx vulnerable.

  1. ¿Es esto cierto?

    Si es así: pensé que había un equipo de seguridad en Canonical que trabajaba activamente en temas como este, por lo que esperaba obtener una actualización de seguridad en un corto período de tiempo (horas o días) apt-get update.

  2. ¿Es esta expectativa, que mantener mis paquetes actualizados es suficiente para evitar que mi servidor tenga vulnerabilidades conocidas, generalmente incorrecto?

  3. Si es así: ¿qué debo hacer para mantenerlo seguro? Leer los avisos de seguridad de Ubuntu no habría ayudado en este caso, ya que la vulnerabilidad nginx nunca se publicó allí.

Jo Liss
fuente
44
I + 1-ed por tener un problema concreto que citar.
RobotHumans

Respuestas:

39

Ubuntu se divide actualmente en cuatro componentes: principal, restringido, universo y multiverso. Los paquetes en principal y restringido son compatibles con el equipo de seguridad de Ubuntu durante la vida de una versión de Ubuntu, mientras que los paquetes en universo y multiverso son compatibles con la comunidad de Ubuntu. Consulte las preguntas frecuentes del equipo de seguridad para obtener más información.

Como nginx está en el componente Universo, no recibe actualizaciones del equipo de seguridad. Depende de la comunidad solucionar los problemas de seguridad en ese paquete. Vea aquí para el procedimiento exacto .

Puede usar el Centro de software o la ubuntu-support-statusherramienta de línea de comandos para determinar qué paquetes son compatibles oficialmente y durante cuánto tiempo.


Actualización del futuro : Nginx se está moviendo a main, por lo que recibirá soporte del equipo de seguridad de Ubuntu en ese momento. Si no está seguro de si su versión lo hará, solo mire apt-cache show nginxy busque la etiqueta "Sección". Cuando está en Main, obtienes soporte canónico para ello.

mdeslaur
fuente
Tenga en cuenta que ubuntu-support-status tiene errores, por lo que es posible que no tenga mucha suerte: bugs.launchpad.net/ubuntu/+source/update-manager/+bug/849532
Ben McCann
14

El paquete nginx en ppa para precisión es at Version 1.1.17-2 uploaded on 2012-03-19.

Si necesita parches para CVE que todavía están en el candidato y no son aceptados, podría considerar agregar ppas .

En este paquete y error en particular aquí hay algunas notas del rastreador de errores del paquete .

RobotHumanos
fuente
4

Canonical mantiene activamente actualizados los paquetes dentro del repositorio 'principal' de Ubuntu. (Para ser parte de la instalación predeterminada, un paquete debe estar dentro de main).

Sin embargo, para paquetes como nginx, que están en el "universo", entonces no esperaría actualizaciones de seguridad oportunas. Esto se debe a que estos paquetes son mantenidos por voluntarios, en lugar de Canonical. No sería razonable esperar que Canonical monitoree constantemente las decenas de miles de paquetes que existen en el universo.

8128
fuente
1

Para los paquetes que se encuentran en distribuciones basadas en Debian como Ubuntu, los parches de seguridad se transfieren a la versión actual. Las versiones de lanzamiento no se actualizan, ya que pueden introducir características incompatibles. En cambio, el equipo de seguridad (o mantenedor del paquete) aplicará el parche de seguridad a la versión actual y lanzará una versión parcheada.

  1. La versión implementada actualmente puede ser vulnerable ya que no es compatible con el equipo de seguridad de Ubuntu. Esto no significa que sea vulnerable ya que el mantenedor del paquete puede haberlo parchado. Verifique changelogen el /usr/share/doc/nginxdirectorio para ver si el parche de seguridad ha sido respaldado. Si no, el parche puede estar en progreso y disponible en la versión de prueba.

  2. Tiene razón al suponer que mantener actualizado su servidor reducirá significativamente el período de ejecución de software inseguro. Hay paquetes que se pueden configurar para descargar automáticamente e instalar actualizaciones opcionales. Estos también pueden notificar qué parches se instalaron o están listos para la instalación.

  3. Para los paquetes que no son compatibles con el equipo de seguridad, es posible que desee prestar atención a los problemas de seguridad pendientes. Evalúe el riesgo ya que no todas las vulnerabilidades son explotables en todos los sistemas. Algunos pueden depender de la configuración o requerir acceso local. Otros pueden no ser tan significativos sin otros problemas, por ejemplo, explotar una condición de carrera para reemplazar un archivo de puntajes altos de juegos.

BillThor
fuente