¿Cómo puedo saber si un CVE se ha solucionado en los repositorios de Ubuntu?

Hoy se anunciaron un par de desbordamientos de búfer en NTP 1 , 2 . Parece que actualizar mi sistema para solucionar estos problemas está en orden.

¿Cómo puedo saber si se han solucionado en los repositorios de Ubuntu, de modo que si tuviera que ejecutar:

sudo apt-get update
sudo apt-get upgrade

entonces se instalaría la solución y se cerraría la vulnerabilidad?

Editar: La respuesta seleccionada aborda específicamente la cuestión de cómo identificar si un CVE determinado se ha solucionado o no, "¿Ubuntu generalmente publica actualizaciones de seguridad oportunas?" 3 está ciertamente relacionado pero no es idéntico

Lo que está buscando son Notificaciones de seguridad de Ubuntu y no están claramente enumeradas en los repositorios. Esta página es la lista principal de Notificaciones de seguridad de Ubuntu.

En cuanto a los paquetes individuales, las actualizaciones que abordan las soluciones de seguridad están en su propio repositorio especial, el -securitybolsillo. Con Synaptic, puede cambiar a la vista "Origen" y ver los paquetes en el RELEASE-securitybolsillo.

Todos los CVE también se enumeran en el rastreador CVE del equipo de seguridad de Ubuntu , con su CVE específicamente referenciado aquí . En el caso de CVE-2014-9295 al que hace referencia aquí, aún no se ha solucionado.

Una vez que hay una actualización disponible, se detectará sudo apt-get update; sudo apt-get upgradeuna vez que se publique en el repositorio de seguridad.

Si bien la respuesta aceptada es correcta, a menudo encuentro que puedo encontrar esta información al ver el registro de cambios de un paquete, y eso es más fácil que buscar los rastreadores CVE o la lista de notificaciones de seguridad. Por ejemplo:

sudo apt-get update
apt-get changelog ntp

El resultado del comando anterior incluye:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

Lo que muestra claramente que los errores que mencionó se han corregido en los repositorios de ubuntu. Luego puedes ejecutar:

sudo apt-get upgrade

para derribar la solución.

¿Creo que estás hablando de verificar el registro de cambios de un paquete? Para ver qué hay de nuevo, grandes soluciones importantes, etc. Synaptictiene una manera fácil de probar y descargar registros de cambios.

O si el registro de cambios no está disponible o es demasiado breve, la mejor manera podría ser anotar la versión disponible, ir al sitio web del desarrollador y ver con suerte cambios más detallados.

Si ejecuta esos comandos, obtendrá las soluciones que se encuentran en los repositorios , pero es posible que aún no lo estén. Si tiene habilitado el Notificador de actualización (un widget de bandeja), recibirá una notificación cada vez que haya actualizaciones del sistema o de seguridad (y las actualizaciones de seguridad se anotarán como tales). Luego obtendrá los parches tan pronto como salgan para Ubuntu, sin tener que preocuparse por ellos.